记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

剖析macOS Catalina重大版本更新带来的安全性变化与挑战

概述Apple在10月8日(周二)发布了macOS Catalina的首个公开发行版本,随即吸引了众多开发人员,其中包括一些提供安全解决方案的开发人员、团队和普通macOS用户。经过分析,我们发现macOS 10.15中引入了一些重大变化,这无疑是近一段时间来macOS最大规模的版本改动。而用户在考虑是否升级Catalina之前,应该了解这些改动是否影响当前的企业工作流程,相关依赖代码是否仍然可用,是否需要对依赖代码做进一步更新,以及新版本的macOS是否需要使用新的软件或新的工作方式。在本文中,我们将站在安全性的视角,分析macOS Catalina此次重大版本升级对企业环境造成的主要变化与挑战。开发人员应跟紧Cat
发布时间:2019-10-13 13:10 | 阅读:18951 | 评论:0 | 标签:系统安全 macOS

以macOS.GMERA恶意软件为例,揭秘macOS环境下行为检测的原理及优势

概述上周,Trend Micro的研究人员在野外发现了一个新型的macOS恶意软件,该恶意软件会对真正的股票交易应用程序进行欺骗,开启后门,并运行恶意代码。在本文中,我们主要分析该恶意软件的工作原理,并以这一恶意软件为示例,讨论不同的检测和响应策略,特别重点说明在macOS上进行行为检测的原理和优势。GMERA恶意软件概述首先,让我们看一下这个新型macOS恶意软件的技术细节。研究人员最初发现了两个变种,并将其识别为GMERA.A和GMERA.B。在本文中,我们将重点介绍GMERA.B样本中与检测和响应有关的关键环节。我们所分析的样本哈希值是:d2eaeca25dd996e4f34984a0acdc4c2a1dfa3b
发布时间:2019-10-09 13:10 | 阅读:15134 | 评论:0 | 标签:恶意软件 技术 GMERA恶意软件 macOS

macOS恶意软件排查实践指南

概述在我们最近的文章《恶意软件如何维持macOS持久性》中,我们讨论了威胁参与者可以确保持久性的方式,一旦威胁参与者攻破了macOS设备,其恶意代码理论上可以在设备注销或重启后仍然存在。但是,持久性仅仅是攻击链中的一个因素。众所周知,一些威胁行为者不仅仅满足于一次性感染或重复利用漏洞后保持隐蔽,他们可能会让恶意软件在实现其目标后进行自动清理,从而确保不留下任何痕迹。显然,仅仅寻找持久化的项目并不足以进行威胁排查。因此,在本文中我们将深入讨论如何在macOS设备上搜寻威胁。收集有关Mac的信息如何在macOS终端上搜索恶意软件,很大程度上取决于我们对设备的访问权限,以及当前在设备上运行的软件类型。我们将假设用户的设备此时
发布时间:2019-07-17 12:25 | 阅读:77829 | 评论:0 | 标签:系统安全 macOS 恶意软件

如何安全地逆向分析macOS恶意软件

Part 1当前,用于介绍Windows平台和PE文件的恶意软件分析和逆向工程的学习资源汗牛充栋,但相比之下,介绍macOS恶意软件逆向分析以及macOS恶意软件分析技术方面的文献或教程,则少得可怜。鉴于此,在本系列文章中,我们将通过一个样本文件,向读者详细介绍如何使用本机工具和相关技术来深入考察该样本,并构建用于检测恶意软件的IoC列表。由于本文的涉及面很广,所以,本教程将分为3个部分。其中,在第1部分中,我们将介绍如何设置安全环境来检测macOS上的恶意软件。同时,我们将为读者介绍如何安装所需的所有工具(全部都是免费的!),以及从哪里获取macOS恶意软件样本。然后,我们将为读者介绍如何考察应用程序包(applic
发布时间:2019-06-28 12:25 | 阅读:45002 | 评论:0 | 标签:逆向破解 macOS

macOS新版本10.15 Catalina的7点重大安全改进

概述正如我们所期待的那样,在WWDC 2019上,发布了关于下一版本Apple桌面操作系统macOS 10.15 Catalina的主要展示。考虑到在此前的几个正式版本中接连发现的安全问题,包括令人震惊的严重漏洞,以及重复出现的内置Mac安全工具安全机制绕过问题,Catalina在安全性方面得到了Apple工程师的重点关注,这一点也就显得不足为奇了。在macOS 10.15版本中,我们发现了一些重大的改进,可能将会影响部署安全解决方案的企业和开发人员。在这篇文章中,我们对目前新版本操作系统中所公开的安全机制进行了总结,同时深入解读这些改进会如何影响到最终用户。一、告别Kexts,迎接SystemExtensions从m
发布时间:2019-06-11 12:25 | 阅读:54571 | 评论:0 | 标签:系统安全 macOS

OceanLotus macOS恶意软件更新

2019年3月初,有一款来自OceanLotus的攻击macOS的恶意软件被上传到VirusTotal。研究人员分析发现该后门可执行文件与之前的macOS变种有相同的特征,但是其结构发生了变化,所以检测起来更难。但因为找不到与该样本相关的释放器,所以也不知道初始感染向量。因为之前Trend Micro也分析过OceanLotus使用的macOS恶意软件,因此本文主要介绍与之前版本的变化。分析本文的分析过程使用的样本SHA-1 哈希值为E615632C9998E4D3E5ACD8851864ED09B02C77D2,ESET产品检测到该文件为OSX/OceanLotus.D。反调试和反沙箱与之前的OceanLotus m
发布时间:2019-04-14 12:25 | 阅读:50607 | 评论:0 | 标签:系统安全 macOS

Lazarus进军macOS平台和加密货币行业

Kaspersky研究人员根据威胁情报发现Lazarus APT组织开始攻击金融行业,尤其是加密货币交易。经济利益仍然是Lazarus的主要目标,其使用的技术、方法和步骤都是为了避免检查。2018年中旬,Kaspersky研究人员发布了关于Operation Applejeus的研究进展(https://securelist.com/operation-applejeus/87553/),分析了Lazarus开始关注加密货币交易。其中一个主要发现就是该组织攻击macOS的能力,然后Lazarus就开始在mac平台上扩展其攻击活动。通过分析攻击金融机构的活动,研究人员发现了一起从2018年11月开始的新的攻击活动,其中使
发布时间:2019-03-28 12:20 | 阅读:80284 | 评论:0 | 标签:Web安全 macOS 加密

如何创建无法检测的有效载荷

在macOS中进行对有效载荷加密并对传输器(stager)进行编码,就可以创建无法检测的有效载荷。此外,使用一些简单的技巧,就可以很容易的躲过VirusTotal和macOS杀毒软件。本文的目标是找到一个已知且易于被检测到的macOS有效载荷,然后再通过一种方法,允许我们在目标MacBook上执行相同的有效载荷。通过这个测试,我们可以确认所创建的有效载荷在运行时是否可以成功绕过杀毒软件的检测。在本文的测试中,除了在VirusTotal测试我们所创建的恶意文件外,我们还在macOS Mojave(v10.14)中针对流行的杀毒软件(如Avast,AVG,BitDefender,Sophos和ClamXAV)进行了测试。需
发布时间:2018-12-09 12:20 | 阅读:81233 | 评论:0 | 标签:Web安全 macOS

Safari+macOS的全套漏洞利用链

在今年的Pwn2Own 2018比赛中, 有多个针对苹果Safari浏览器的攻击挑战,今天我们就来介绍一下针对Safari的远程代码执行(RCE)、沙箱逃脱、本地特权升级(LPE)和针对macOS 10.13.3内核的漏洞利用。攻击挑战的环境设置安装nasm(全称The Netwide Assembler,是一款基于80×86和x86-64平台的汇编语言编译程序,其设计初衷是为了实现编译器程序跨平台和模块化的特性)和tornado(一种 Web 服务器软件的开源版本):brew install nasmpip3 install tornado如果要更改主机或端口,请检查
发布时间:2018-11-17 12:20 | 阅读:95659 | 评论:0 | 标签:漏洞 macOS Safari

从Safari恶意扩展,深度剖析macOS新架构Mojave安全性

一、概述本文主要介绍了macOS浏览器扩展所采用的技术,以及恶意插件如何窃取密码、银行信息和其他敏感用户数据。安装浏览器扩展,实际上是用户能对安全系统做出的最为简单的第三方修改之一,但也可能是最为危险的修改之一。许多用户认为扩展就是各种各样的“小型应用程序”,能在浏览网页时提供一些简单有用的附加功能,例如阻止广告内容、允许标记、自动填写表单字段等。但是,有相当一部分用户并没有意识到这些扩展所潜藏的巨大力量。在本文中,我们首先将了解Safari浏览器扩展的安全定义,并对恶意广告软件活动中使用的浏览器扩展进行分析。此后,我们将介绍macOS 10.14 Mojave中针对Safari扩展安全性所做出的改变,以及如何解决其仍
发布时间:2018-10-31 12:20 | 阅读:86738 | 评论:0 | 标签:系统安全 macOS

加密货币价格追踪器在macOS中安装后门

研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
发布时间:2018-10-31 12:20 | 阅读:112586 | 评论:0 | 标签:系统安全 macOS 后门 加密

如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(二)

在上一篇文章中,我详细介绍了macOS的用户交互安全屏障的过程,今天我就接着介绍这种防护措施是如何失效的?macOS的用户交互安全是如何被绕过的?在经过一番探索之后,我发现了一个叫做"Mouse Keys"的功能特性。"Mouse Keys"是macOS的一项文档记录功能,正如它的介绍那样,该功能允许用户把键盘当作鼠标用。启用"Mouse Keys"后,如果要将鼠标往右移动,你只需按下O或键盘上的数字6即可。接着按下I或键盘上的数字5,就会确认单击动作完成了。这就引发了一些列安全问题,比如:1.可以通过程序化方式启用"Mouse Keys"
发布时间:2018-10-12 12:20 | 阅读:87483 | 评论:0 | 标签:Web安全 macOS

如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(一)

假设你是一个攻击者或正在使用恶意软件发起攻击,那在你成功的获得了对Mac的访问后,你会做什么呢?一般来说,攻击者最想得到的是以下5方面内容:1.转储用户的钥匙串;2.确定攻击设备目前所在的位置,即获取GEO文件;3.枚举用户设备里的联系人;4.加载内核扩展,即获取kext文件,kext文件是一个Mac OS X内核扩展,常见于Hackintosh(PC上的黑Apple)。它们通常用于设备驱动程序,运行于系统的核心基底;5.绕过第三方安全防护措施;不过Apple也意识到了这些问题,所以在最新版本的macOS上,一些新的安全机制会阻止以上这些操作。现在,这些新的安全机制将会针对此类非法操作,向用户发出警报,以提醒用户。根据
发布时间:2018-09-27 12:20 | 阅读:80845 | 评论:0 | 标签:Web安全 macOS

通过模拟点击即可绕开macOS内核代码签名验证

每年的DEF CON大会期间,都会有研究人员指出苹果的漏洞,今年也不例外。来自Digita Security的首席研究官Patrick Wardle就披露了一个macOS中存在的零日漏洞,攻击者可以通过模拟点击绕开macOS内核代码签名验证,加载系统内核扩展。Patrick Wardle发现,只要调整加载内核扩展过程中的两行验证代码,他就可以模拟用户”点击”安全提示,从而在最新High Sierra操作系统上加载内核扩展,获得最高操作访问权限。Mac上的内核访问为攻击者提供了最高的访问权限,可用于完全破坏操作系统。话说,苹果是为了阻止黑客和恶意软件滥用,才从High Sierra操作系统开始,加入的内核扩展操作验证。当
发布时间:2018-09-03 12:20 | 阅读:103918 | 评论:0 | 标签:漏洞 系统安全 macOS

safari沙盒破解

当开发实体软件或设备时,实现系统上的任意代码执行可能仅仅是迈向完全攻击的第一步。对于具有高价值的或安全意识比较强的目标,远程代码执行通常通过沙盒逃逸(或特权升级)及其持久性来完成。每一阶段通常都需要其自身完整实现独特的攻击,使一些武器化的zero-day(零日)成为一系列攻击的“链”。考虑到高风险的消费者软件,现代web浏览器使用软件沙盒来缓解远程攻击事件中的损害。在上一篇文章中利用了Apple Safari之后,本文将注意力转向macOS上实现对系统全面攻击的Safari沙盒逃逸。使用Frida对锁屏上的macOS WindowServer进行模糊测试作为Pwn2Own系列的第五篇博文,本文将讨论我们在macOS上评
发布时间:2018-08-09 12:20 | 阅读:92383 | 评论:0 | 标签:技术 macOS

如何访问macOS上的锁定文件

锁定记录(Lockdown record)或配对记录(Pair Record)技术通常被取证专家用于访问锁定的iOS设备,他们通过使用从嫌疑人计算机中提取的现有锁定记录,进而使用iOS Forensic Toolkit和其他取证工具执行iOS设备的逻辑取证。逻辑取证有助于取证存储在系统备份中的信息,访问共享和媒体文件,甚至可以提取设备里的崩溃日志。但是,由于macOS使用访问权限保护锁定文件,锁定记录可能很难访问并且难以提取。今天,就让我们来看看如何访问macOS系统上的锁定文件。什么是锁定记录?关于锁定记录的其中一个解释是,它只是一个存储在用户计算机上的文件。更严格的说,锁定文件保留了加密密钥,这些密钥用于iOS设备
发布时间:2018-07-19 12:20 | 阅读:101214 | 评论:0 | 标签:技术 macOS

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云