终于轮到你:Mac OS X系统存在DLL劫持漏洞

安全 漏洞
DLL劫持从2000年就一直开始困扰着Windows系统,而现在这种攻击方式也在大多人眼中“最安全的操作系统”——苹果Mac OS X上出现了。

DLL劫持从2000年就一直开始困扰着Windows系统,而现在这种攻击方式也在大多人眼中“最安全的操作系统”——苹果Mac OS X上出现了。

[[129891]]

本周,Synack的研究员Patrick Wardle在温哥华举行的CanSecWest的会议上做了一个演讲,他详细解释了入侵Mac OS X动态库的细节:持久、过程注入、安全功能(Apple Gatekeeper)绕过和远程利用,和Windows DLL劫持差不多。

苹果动态库劫持漏洞

DLL劫持攻击和动态库劫持攻击的概念从本质上来说基本相同:攻击者必须先找到一个恶意库,然后才能进入操作系统加载的目录中。Wardle只是解释了这类攻击的一个方面,也就是他能找到Photostream Agent(iCloud运行时会自动运行)上易受攻击的Apply二进制文件。

Wardle称:

DLL劫持困扰Windows已经有一段时间了,是一个非常普遍的攻击,而且已经被攻击者用烂了。我之前有想过OS X上会不会也出现相同的问题。于是经过一系列的研究,我发现在OS X上也有相似的问题。虽然它们使用了不同的技术,但是入侵的能力却相同,都很强大。

持久性潜伏是攻击中最完美的一个部分,攻击者可把一个特别编制的动态库复制到Photostream目录上,以随时知道应用程序什么时候运行,这样攻击者的动态库就会被加载到进程中。这是最为隐秘的潜伏方式,因为它不会创建任何新的进程,不会修改任何文件,只是植入了一个单一的动态库。

远程执行恶意代码

Wardle说他能通过在Xcode注入一个进程便可在受害者设备上自动并持久的执行代码。一旦Xcode感染了他的恶意程序,只要开发者在系统上部署了一个新的二进制文件,它就会自动添加恶意代码到文件上。

Wardle还可以远程绕过苹果Gatekeeper的安全防护,他的恶意动态库代码会植入到下载文件中,但是这一举动本应该被Gatekeeper拦截掉(因为它不是经过Apple App Store下载)。然而,Gatekeeper会远程加载这一恶意文件,这样攻击者就可远程执行代码并感染用户了。

安全扫描器

Wardle还发布了扫描器的源代码,可扫描到易受攻击的应用程序。他在自己的OS X机器上运行了他写的Python脚本,经扫描发现有144个二进制文件易受动态库劫持攻击,包括苹果的Xcode,iMovie和Quicktime插件,微软的word、excel、PPT,还有一些第三方应用程序(Java,Dropbox,GPG Tools 和Adobe插件)。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2013-06-25 10:11:18

2010-08-31 15:18:31

2011-09-28 10:12:06

Mac OS X

2011-07-07 10:13:05

Mac OS X

2013-09-02 09:19:19

2013-02-26 09:14:52

2009-09-04 21:21:17

2012-02-17 09:21:22

Mac OS X

2015-02-26 14:40:11

2010-08-25 11:05:03

2016-01-04 10:18:26

软件漏洞2015

2021-12-26 07:43:50

aDLLDLL漏洞

2010-08-30 11:46:16

2014-06-03 16:59:22

OS XOS X Yosemi

2012-02-17 14:41:12

Mac OS XOS XiOS

2013-06-07 14:35:19

Mac OS X

2011-10-20 20:56:42

UbuntuMac OS X

2011-07-22 09:06:01

Mac OS X Li

2012-02-02 10:30:30

Mac OS X 10正式发布

2011-09-20 09:41:51

OS X Lion
点赞
收藏

51CTO技术栈公众号