Der Weg eines Trojaners auf den Mac ...

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Für alle, die es interessiert:
Hier ein Beispiel, wie ein Mac mit einem Trojaner infiziert werden kann. Der Weg ist - natürlich - ein Klassiker - niemals von unbekannten Quellen laden.

https://objective-see.com/blog/blog_0x66.html?mc_cid=ce87cb9b1f&mc_eid=335cbbfc4a

Sollte es allerdings jemand schaffen, eine Third-Party-Lib zu infizieren (geht sehr gut in der JavaScript-Welt), kann eine derartige Komponente in die Software eines Herstellers geraten. Einer der Gründe, warum ich Electron-apps nicht mag.
 

MacEnroe

Aktives Mitglied
Dabei seit
10.02.2004
Beiträge
22.572
Punkte Reaktionen
6.825
Sorry, aber genau sowas mit Bestätigungsfenster, wo man auch noch die E-Mail eintragen soll,
klicke ich doch lieber sofort weg! Kannst ja kurz erzählen, wie es passiert und was dann passiert ...
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Objective See ist sehr bekannt. Erstellt nicht kommerzielle Analyse-Tools. Ich bekomme keine E-Mail-Abfrage, ansonsten kannst Du diese defektiv wegklicken..

Inhaltlich geht es um den Weg eines Trojaners auf dem Mac, die Analyse, wie er gefunden wird und was er macht.
 

MacEnroe

Aktives Mitglied
Dabei seit
10.02.2004
Beiträge
22.572
Punkte Reaktionen
6.825
OK. Finde ich prinzipiell interessant, aber das ist mir dann doch zu mühsam, mich da durchzuarbeiten. :)
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Als Software-Entwickler finde ich das extrem spannend. :-D
 

maba_de

Aktives Mitglied
Dabei seit
15.12.2003
Beiträge
18.373
Punkte Reaktionen
9.862
Objective See ist sehr bekannt.
und Patrick Wardle einer der führenden IT Security Spezialisten und ehemaliger Geheimdienst Hacker.
Seine Aussage, der Mac sei (zu) einfach zu hacken hat damals einigen Wirbel verursacht.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.217
Punkte Reaktionen
6.702
În Kürze:
- App von außerhalb des App-Stores
- nicht notarisiert
also genau die Punkte, die sich viele hier im Forum so gerne wünschen, da der App-Store ja angeblich so schlecht für Entwickler sei und die Notarisierung nur eine Gängelung wäre.
 

maba_de

Aktives Mitglied
Dabei seit
15.12.2003
Beiträge
18.373
Punkte Reaktionen
9.862
nicht notarisiert
Patrick Wardle hat mehrfach demonstriert, das sich genau das aushebeln lässt.
Und deshalb kritisiere ich das. User und Entwickler werden gegängelt für ein Stückchen Pseudo Sicherheit.
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
@lisanet: Bin ganz bei Dir. Die Vorteile eines geschlossenen Systems.

Andererseits gibt es etliche Software die direkt vom Hersteller vertrieben wird:
* IntelliJ
* Navicat
um nur einige zu nehmen. Dort kann man ebenfalls bedenkenlos downloaden.
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Heben natürlich nicht alle Risiken auf.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.217
Punkte Reaktionen
6.702
@lisanet: Bin ganz bei Dir. Die Vorteile eines geschlossenen Systems.

Andererseits gibt es etliche Software die direkt vom Hersteller vertrieben wird:
* IntelliJ
* Navicat
um nur einige zu nehmen. Dort kann man ebenfalls bedenkenlos downloaden.
Yep.

Das Hauptproblem ist ja, dass die App von außerhalb des Stores herunter geladen wird. Dadurch ist es halt möglich (hat Wardle ja mal gezeigt), dass Gatekeeper hinsichtlich Notarizaition ausgehebelt werden kann. Bei Apps aus dem Store kannst die App Gatekeeper / Notarization nicht umgehen.
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Die Anwendung hatte eine Signatur.

signed.png
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Da musste ich schmunzeln:

The libcrypto.2.dylib binary contains embedded (compiler) strings the reveal information about the system it was created on such as: "/Users/erdou/Desktop/mac注入/sendRelease3.1/crypto.2/..."
 

gishmo

Aktives Mitglied
Thread Starter
Dabei seit
16.03.2004
Beiträge
1.399
Punkte Reaktionen
366
Manchmal reicht schon die Lust mit JavaScript zu entwicklen:

Alarm.png
 
Oben