DLL劫持從2000年就一直開始困擾著Windows系統(tǒng),而現(xiàn)在這種攻擊方式也在大多人眼中“最安全的操作系統(tǒng)”——蘋果Mac OS X上出現(xiàn)了�。
本周,Synack的研究員Patrick Wardle在溫哥華舉行的CanSecWest的會議上做了一個演講�,他詳細(xì)解釋了入侵Mac OS X動態(tài)庫的細(xì)節(jié):持久、過程注入���、安全功能(Apple Gatekeeper)繞過和遠(yuǎn)程利用����,和Windows DLL劫持差不多��。
蘋果動態(tài)庫劫持漏洞
DLL劫持攻擊和動態(tài)庫劫持攻擊的概念從本質(zhì)上來說基本相同:攻擊者必須先找到一個惡意庫�����,然后才能進入操作系統(tǒng)加載的目錄中�。Wardle只是解釋了這類攻擊的一個方面��,也就是他能找到Photostream Agent(iCloud運行時會自動運行)上易受攻擊的Apply二進制文件�。
Wardle稱:
DLL劫持困擾Windows已經(jīng)有一段時間了�,是一個非常普遍的攻擊�,而且已經(jīng)被攻擊者用爛了。我之前有想過OS X上會不會也出現(xiàn)相同的問題����。于是經(jīng)過一系列的研究,我發(fā)現(xiàn)在OS X上也有相似的問題�。雖然它們使用了不同的技術(shù),但是入侵的能力卻相同���,都很強大��。
持久性潛伏是攻擊中最完美的一個部分�����,攻擊者可把一個特別編制的動態(tài)庫復(fù)制到Photostream目錄上���,以隨時知道應(yīng)用程序什么時候運行,這樣攻擊者的動態(tài)庫就會被加載到進程中�����。這是最為隱秘的潛伏方式,因為它不會創(chuàng)建任何新的進程�����,不會修改任何文件���,只是植入了一個單一的動態(tài)庫�。
遠(yuǎn)程執(zhí)行惡意代碼
Wardle說他能通過在Xcode注入一個進程便可在受害者設(shè)備上自動并持久的執(zhí)行代碼�。一旦Xcode感染了他的惡意程序,只要開發(fā)者在系統(tǒng)上部署了一個新的二進制文件���,它就會自動添加惡意代碼到文件上����。
Wardle還可以遠(yuǎn)程繞過蘋果Gatekeeper的安全防護�,他的惡意動態(tài)庫代碼會植入到下載文件中,但是這一舉動本應(yīng)該被Gatekeeper攔截掉(因為它不是經(jīng)過Apple App Store下載)�。然而,Gatekeeper會遠(yuǎn)程加載這一惡意文件�����,這樣攻擊者就可遠(yuǎn)程執(zhí)行代碼并感染用戶了。
小編推薦閱讀
