记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

macOS新版本10.15 Catalina的7点重大安全改进

概述正如我们所期待的那样,在WWDC 2019上,发布了关于下一版本Apple桌面操作系统macOS 10.15 Catalina的主要展示。考虑到在此前的几个正式版本中接连发现的安全问题,包括令人震惊的严重漏洞,以及重复出现的内置Mac安全工具安全机制绕过问题,Catalina在安全性方面得到了Apple工程师的重点关注,这一点也就显得不足为奇了。在macOS 10.15版本中,我们发现了一些重大的改进,可能将会影响部署安全解决方案的企业和开发人员。在这篇文章中,我们对目前新版本操作系统中所公开的安全机制进行了总结,同时深入解读这些改进会如何影响到最终用户。一、告别Kexts,迎接SystemExtensions从m
发布时间:2019-06-11 12:25 | 阅读:16215 | 评论:0 | 标签:系统安全 macOS

OceanLotus macOS恶意软件更新

2019年3月初,有一款来自OceanLotus的攻击macOS的恶意软件被上传到VirusTotal。研究人员分析发现该后门可执行文件与之前的macOS变种有相同的特征,但是其结构发生了变化,所以检测起来更难。但因为找不到与该样本相关的释放器,所以也不知道初始感染向量。因为之前Trend Micro也分析过OceanLotus使用的macOS恶意软件,因此本文主要介绍与之前版本的变化。分析本文的分析过程使用的样本SHA-1 哈希值为E615632C9998E4D3E5ACD8851864ED09B02C77D2,ESET产品检测到该文件为OSX/OceanLotus.D。反调试和反沙箱与之前的OceanLotus m
发布时间:2019-04-14 12:25 | 阅读:31897 | 评论:0 | 标签:系统安全 macOS

Lazarus进军macOS平台和加密货币行业

Kaspersky研究人员根据威胁情报发现Lazarus APT组织开始攻击金融行业,尤其是加密货币交易。经济利益仍然是Lazarus的主要目标,其使用的技术、方法和步骤都是为了避免检查。2018年中旬,Kaspersky研究人员发布了关于Operation Applejeus的研究进展(https://securelist.com/operation-applejeus/87553/),分析了Lazarus开始关注加密货币交易。其中一个主要发现就是该组织攻击macOS的能力,然后Lazarus就开始在mac平台上扩展其攻击活动。通过分析攻击金融机构的活动,研究人员发现了一起从2018年11月开始的新的攻击活动,其中使
发布时间:2019-03-28 12:20 | 阅读:54253 | 评论:0 | 标签:Web安全 macOS 加密

如何创建无法检测的有效载荷

在macOS中进行对有效载荷加密并对传输器(stager)进行编码,就可以创建无法检测的有效载荷。此外,使用一些简单的技巧,就可以很容易的躲过VirusTotal和macOS杀毒软件。本文的目标是找到一个已知且易于被检测到的macOS有效载荷,然后再通过一种方法,允许我们在目标MacBook上执行相同的有效载荷。通过这个测试,我们可以确认所创建的有效载荷在运行时是否可以成功绕过杀毒软件的检测。在本文的测试中,除了在VirusTotal测试我们所创建的恶意文件外,我们还在macOS Mojave(v10.14)中针对流行的杀毒软件(如Avast,AVG,BitDefender,Sophos和ClamXAV)进行了测试。需
发布时间:2018-12-09 12:20 | 阅读:51896 | 评论:0 | 标签:Web安全 macOS

Safari+macOS的全套漏洞利用链

在今年的Pwn2Own 2018比赛中, 有多个针对苹果Safari浏览器的攻击挑战,今天我们就来介绍一下针对Safari的远程代码执行(RCE)、沙箱逃脱、本地特权升级(LPE)和针对macOS 10.13.3内核的漏洞利用。攻击挑战的环境设置安装nasm(全称The Netwide Assembler,是一款基于80×86和x86-64平台的汇编语言编译程序,其设计初衷是为了实现编译器程序跨平台和模块化的特性)和tornado(一种 Web 服务器软件的开源版本):brew install nasmpip3 install tornado如果要更改主机或端口,请检查
发布时间:2018-11-17 12:20 | 阅读:71396 | 评论:0 | 标签:漏洞 macOS Safari

从Safari恶意扩展,深度剖析macOS新架构Mojave安全性

一、概述本文主要介绍了macOS浏览器扩展所采用的技术,以及恶意插件如何窃取密码、银行信息和其他敏感用户数据。安装浏览器扩展,实际上是用户能对安全系统做出的最为简单的第三方修改之一,但也可能是最为危险的修改之一。许多用户认为扩展就是各种各样的“小型应用程序”,能在浏览网页时提供一些简单有用的附加功能,例如阻止广告内容、允许标记、自动填写表单字段等。但是,有相当一部分用户并没有意识到这些扩展所潜藏的巨大力量。在本文中,我们首先将了解Safari浏览器扩展的安全定义,并对恶意广告软件活动中使用的浏览器扩展进行分析。此后,我们将介绍macOS 10.14 Mojave中针对Safari扩展安全性所做出的改变,以及如何解决其仍
发布时间:2018-10-31 12:20 | 阅读:62949 | 评论:0 | 标签:系统安全 macOS

加密货币价格追踪器在macOS中安装后门

研究人员发现macOS系统中一个伪装为加密货币ticker(股票价格收报机)的木马CoinTicker正在用户设备上安装后门。成功安装后,CoinTicker应用允许用户选择不同的加密货币以监控其实时价格。然后会安装一个小的信息插件到macOS菜单栏,以实时更新当前价格,如下图所示。CoinTicker木马应用CoinTicker应用在后台会秘密下载两个后门,这两个后门可以让攻击者远程控制受感染的计算机。Malwarebyte将其命名为1vladimir,在木马执行时会连接到远程主机,并下载大量的shell和python脚本,python和shell脚本的执行会下载和安装这两个后门。Malwarebyte分析师称:恶意
发布时间:2018-10-31 12:20 | 阅读:90404 | 评论:0 | 标签:系统安全 macOS 后门 加密

如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(二)

在上一篇文章中,我详细介绍了macOS的用户交互安全屏障的过程,今天我就接着介绍这种防护措施是如何失效的?macOS的用户交互安全是如何被绕过的?在经过一番探索之后,我发现了一个叫做"Mouse Keys"的功能特性。"Mouse Keys"是macOS的一项文档记录功能,正如它的介绍那样,该功能允许用户把键盘当作鼠标用。启用"Mouse Keys"后,如果要将鼠标往右移动,你只需按下O或键盘上的数字6即可。接着按下I或键盘上的数字5,就会确认单击动作完成了。这就引发了一些列安全问题,比如:1.可以通过程序化方式启用"Mouse Keys"
发布时间:2018-10-12 12:20 | 阅读:63681 | 评论:0 | 标签:Web安全 macOS

如何让macOS的用户交互安全屏障瞬间变成“马奇诺防线”(一)

假设你是一个攻击者或正在使用恶意软件发起攻击,那在你成功的获得了对Mac的访问后,你会做什么呢?一般来说,攻击者最想得到的是以下5方面内容:1.转储用户的钥匙串;2.确定攻击设备目前所在的位置,即获取GEO文件;3.枚举用户设备里的联系人;4.加载内核扩展,即获取kext文件,kext文件是一个Mac OS X内核扩展,常见于Hackintosh(PC上的黑Apple)。它们通常用于设备驱动程序,运行于系统的核心基底;5.绕过第三方安全防护措施;不过Apple也意识到了这些问题,所以在最新版本的macOS上,一些新的安全机制会阻止以上这些操作。现在,这些新的安全机制将会针对此类非法操作,向用户发出警报,以提醒用户。根据
发布时间:2018-09-27 12:20 | 阅读:59886 | 评论:0 | 标签:Web安全 macOS

通过模拟点击即可绕开macOS内核代码签名验证

每年的DEF CON大会期间,都会有研究人员指出苹果的漏洞,今年也不例外。来自Digita Security的首席研究官Patrick Wardle就披露了一个macOS中存在的零日漏洞,攻击者可以通过模拟点击绕开macOS内核代码签名验证,加载系统内核扩展。Patrick Wardle发现,只要调整加载内核扩展过程中的两行验证代码,他就可以模拟用户”点击”安全提示,从而在最新High Sierra操作系统上加载内核扩展,获得最高操作访问权限。Mac上的内核访问为攻击者提供了最高的访问权限,可用于完全破坏操作系统。话说,苹果是为了阻止黑客和恶意软件滥用,才从High Sierra操作系统开始,加入的内核扩展操作验证。当
发布时间:2018-09-03 12:20 | 阅读:80950 | 评论:0 | 标签:漏洞 系统安全 macOS

safari沙盒破解

当开发实体软件或设备时,实现系统上的任意代码执行可能仅仅是迈向完全攻击的第一步。对于具有高价值的或安全意识比较强的目标,远程代码执行通常通过沙盒逃逸(或特权升级)及其持久性来完成。每一阶段通常都需要其自身完整实现独特的攻击,使一些武器化的zero-day(零日)成为一系列攻击的“链”。考虑到高风险的消费者软件,现代web浏览器使用软件沙盒来缓解远程攻击事件中的损害。在上一篇文章中利用了Apple Safari之后,本文将注意力转向macOS上实现对系统全面攻击的Safari沙盒逃逸。使用Frida对锁屏上的macOS WindowServer进行模糊测试作为Pwn2Own系列的第五篇博文,本文将讨论我们在macOS上评
发布时间:2018-08-09 12:20 | 阅读:65430 | 评论:0 | 标签:技术 macOS

如何访问macOS上的锁定文件

锁定记录(Lockdown record)或配对记录(Pair Record)技术通常被取证专家用于访问锁定的iOS设备,他们通过使用从嫌疑人计算机中提取的现有锁定记录,进而使用iOS Forensic Toolkit和其他取证工具执行iOS设备的逻辑取证。逻辑取证有助于取证存储在系统备份中的信息,访问共享和媒体文件,甚至可以提取设备里的崩溃日志。但是,由于macOS使用访问权限保护锁定文件,锁定记录可能很难访问并且难以提取。今天,就让我们来看看如何访问macOS系统上的锁定文件。什么是锁定记录?关于锁定记录的其中一个解释是,它只是一个存储在用户计算机上的文件。更严格的说,锁定文件保留了加密密钥,这些密钥用于iOS设备
发布时间:2018-07-19 12:20 | 阅读:79339 | 评论:0 | 标签:技术 macOS

沙盒也挡不住他们的脚步!恶意软件利用macOS API和OCR组合拳窃取隐私信息

简介恶意应用开发者可以悄悄地用macOS API函数来对用户屏幕进行截屏,然后用OCR(Optical Character Recognition,光学字符识别)来读取截屏图形的内容。被恶意应用开发者滥用的函数就是CGWindowListCreateImage,该函数常被app用来截图。CGImageRef CGWindowListCreateImage(CGRect screenBounds, CGWindowListOption listOption, CGWindowID windowID, CGWindowImageOption i
发布时间:2018-02-28 12:20 | 阅读:112246 | 评论:0 | 标签:系统安全 macOS OCR

苹果系统安全大危机:存在15年的Mac OS零日漏洞

在2017年的最后一夜,一名代号为“Siguza”的安全研究人员在没有通知苹果公司相关漏洞信息并完成漏洞修复的情况下,向公众披露了macOS中一个潜伏长达15年之久的零日漏洞概念证明(POC)代码细节。这个将自身描述成“业余爱好者黑客”的研究人员在一份非常详细的书面报告中写道,“在Mac OS系统中发现的这个零日漏洞——IOHIDeous至少已经潜伏了15年的时间,并且会影响所有Mac操作系统。”目前,Siguza已经通过Github公布了该漏洞利用的细节以及PoC代码(https://github.com/Siguza/IOHIDeous/),并补充道,“这是一个基于IOHIDFamily(为人机界面设备设计的内核扩展,如触摸屏或按钮)零日漏洞的macOS内核漏洞利用。”虽然该漏洞造成的影响范围极广,但是作为
发布时间:2018-01-05 15:10 | 阅读:105503 | 评论:0 | 标签:威胁情报 IOHIDeous macOS root权限 提权漏洞 漏洞

macOS平台最新恶意软件HiddenLotus分析

就在前几天,为了对付这个名叫 OSX.HiddenLotus.A 的 macOS 端恶意软件,苹果公司悄悄地给 macOS 的 XProtect 反恶意软件系统增加了一个恶意软件签名。当时,并没有多少人知道 HiddenLotus 到底是什么,但是安全研究专家Arnaud Abbati在不久之后边发现了一个HiddenLotus样本,并将其发布在了Twitter上与社区的其他研究人员共享。 HiddenLotus的“dropper”是一个伪装成pdf文件的应用程序,文件名为Lê Thu Hà (HAEDC).pdf,它使用了一种非常“古老”的伪装技术,即伪装成Adobe Acrobat文件。 当macOS用户下载了这个文件之后,便会激活macOS的文件免疫功能。苹果公司于Mac OS X 10.5引入了这个
发布时间:2017-12-27 17:50 | 阅读:113396 | 评论:0 | 标签:终端安全 HiddenLotus macOS 恶意软件

苹果至今为止最大漏洞:无密码以Root权限登录macOS

macOS High Sierra(macOS 10.13 )惊现易被利用的漏洞,可令用户无需口令便获取管理员权限(以root用户登录)。该安全漏洞通过苹果操作系统的身份验证对话框触发,此对话框会在用户需要进行网络和隐私设置的时候弹出,要求输入管理员用户名及口令。如果在用户名处输入“root”,口令输入框空着,点击“确定”,多点几次解锁,该对话框就会消失,你就获得了管理员权限。而且该操作还可以直接在用户登录界面进行。可以物理接触到该机器的人都可以利用该漏洞登录,做出额外的伤害,安装恶意软件等等。问题没解决前,用户最好别让自己的Mac机无人看管,也不要启用远程桌面访问。虽然这一情况明显不是世界末日——远未达到远程漏洞或磁盘解密技术的级别,但苹果公司出现这种失误,还是真的真的让人大跌眼镜。1天前,程序员乐米·敖汉·
发布时间:2017-11-30 12:05 | 阅读:146880 | 评论:0 | 标签:威胁情报 High Sierra macOS root权限 安全性更新 安全漏洞 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云