DLL劫持從2000年就一直開始困擾著Windows系統(tǒng)�����,而現(xiàn)在這種攻擊方式也在大多人眼中“最安全的操作系統(tǒng)”——蘋果Mac OS X上出現(xiàn)了。
本周�����,Synack的研究員Patrick Wardle在溫哥華舉行的CanSecWest的會議上做了一個演講��,他詳細解釋了入侵Mac OS X動態(tài)庫的細節(jié):持久�����、過程注入���、安全功能(Apple Gatekeeper)繞過和遠程利用�,和Windows DLL劫持差不多���。
蘋果動態(tài)庫劫持漏洞
DLL劫持攻擊和動態(tài)庫劫持攻擊的概念從本質(zhì)上來說基本相同:攻擊者必須先找到一個惡意庫����,然后才能進入操作系統(tǒng)加載的目錄中���。Wardle只是解釋了這類攻擊的一個方面����,也就是他能找到Photostream Agent(iCloud運行時會自動運行)上易受攻擊的Apply二進制文件��。
Wardle稱:
DLL劫持困擾Windows已經(jīng)有一段時間了����,是一個非常普遍的攻擊,而且已經(jīng)被攻擊者用爛了��。我之前有想過OS X上會不會也出現(xiàn)相同的問題�。于是經(jīng)過一系列的研究,我發(fā)現(xiàn)在OS X上也有相似的問題�。雖然它們使用了不同的技術(shù)�,但是入侵的能力卻相同���,都很強大��。
持久性潛伏是攻擊中最完美的一個部分����,攻擊者可把一個特別編制的動態(tài)庫復(fù)制到Photostream目錄上��,以隨時知道應(yīng)用程序什么時候運行�����,這樣攻擊者的動態(tài)庫就會被加載到進程中�����。這是最為隱秘的潛伏方式�,因為它不會創(chuàng)建任何新的進程,不會修改任何文件���,只是植入了一個單一的動態(tài)庫。
遠程執(zhí)行惡意代碼
Wardle說他能通過在Xcode注入一個進程便可在受害者設(shè)備上自動并持久的執(zhí)行代碼���。一旦Xcode感染了他的惡意程序���,只要開發(fā)者在系統(tǒng)上部署了一個新的二進制文件��,它就會自動添加惡意代碼到文件上���。
Wardle還可以遠程繞過蘋果Gatekeeper的安全防護,他的惡意動態(tài)庫代碼會植入到下載文件中�,但是這一舉動本應(yīng)該被Gatekeeper攔截掉(因為它不是經(jīng)過Apple App Store下載)。然而����,Gatekeeper會遠程加載這一惡意文件,這樣攻擊者就可遠程執(zhí)行代碼并感染用戶了�����。
小編推薦閱讀
