Der Weg eines Trojaners auf den Mac ...

[gishmo]

Für alle, die es interessiert:
Hier ein Beispiel, wie ein Mac mit einem Trojaner infiziert werden kann. Der Weg ist - natürlich - ein Klassiker - niemals von unbekannten Quellen laden.

https://objective-see.com/blog/blog_0x66.html?mc_cid=ce87cb9b1f&mc_eid=335cbbfc4a

Sollte es allerdings jemand schaffen, eine Third-Party-Lib zu infizieren (geht sehr gut in der JavaScript-Welt), kann eine derartige Komponente in die Software eines Herstellers geraten. Einer der Gründe, warum ich Electron-apps nicht mag.

 

[MacEnroe]

Sorry, aber genau sowas mit Bestätigungsfenster, wo man auch noch die E-Mail eintragen soll,
klicke ich doch lieber sofort weg! Kannst ja kurz erzählen, wie es passiert und was dann passiert ...

 

[gishmo]

Objective See ist sehr bekannt. Erstellt nicht kommerzielle Analyse-Tools. Ich bekomme keine E-Mail-Abfrage, ansonsten kannst Du diese defektiv wegklicken..

Inhaltlich geht es um den Weg eines Trojaners auf dem Mac, die Analyse, wie er gefunden wird und was er macht.

 

[MacEnroe]

OK. Finde ich prinzipiell interessant, aber das ist mir dann doch zu mühsam, mich da durchzuarbeiten.

 

[gishmo]

Als Software-Entwickler finde ich das extrem spannend. :-D

 

[maba_de]

Objective See ist sehr bekannt.

und Patrick Wardle einer der führenden IT Security Spezialisten und ehemaliger Geheimdienst Hacker.
Seine Aussage, der Mac sei (zu) einfach zu hacken hat damals einigen Wirbel verursacht.

 

[lisanet]

În Kürze:
- App von außerhalb des App-Stores
- nicht notarisiert
also genau die Punkte, die sich viele hier im Forum so gerne wünschen, da der App-Store ja angeblich so schlecht für Entwickler sei und die Notarisierung nur eine Gängelung wäre.

 

[maba_de]

nicht notarisiert

Patrick Wardle hat mehrfach demonstriert, das sich genau das aushebeln lässt.
Und deshalb kritisiere ich das. User und Entwickler werden gegängelt für ein Stückchen Pseudo Sicherheit.

 

[gishmo]

@lisanet: Bin ganz bei Dir. Die Vorteile eines geschlossenen Systems.

Andererseits gibt es etliche Software die direkt vom Hersteller vertrieben wird:
* IntelliJ
* Navicat
um nur einige zu nehmen. Dort kann man ebenfalls bedenkenlos downloaden.

 

[gishmo]

Heben natürlich nicht alle Risiken auf.

 

[lisanet]

@lisanet: Bin ganz bei Dir. Die Vorteile eines geschlossenen Systems.

Andererseits gibt es etliche Software die direkt vom Hersteller vertrieben wird:
* IntelliJ
* Navicat
um nur einige zu nehmen. Dort kann man ebenfalls bedenkenlos downloaden.

Yep.

Das Hauptproblem ist ja, dass die App von außerhalb des Stores herunter geladen wird. Dadurch ist es halt möglich (hat Wardle ja mal gezeigt), dass Gatekeeper hinsichtlich Notarizaition ausgehebelt werden kann. Bei Apps aus dem Store kannst die App Gatekeeper / Notarization nicht umgehen.

 

[gishmo]

Die Anwendung hatte eine Signatur.

 

[gishmo]

Da musste ich schmunzeln:

The libcrypto.2.dylib binary contains embedded (compiler) strings the reveal information about the system it was created on such as: "/Users/erdou/Desktop/mac注入/sendRelease3.1/crypto.2/..."

 

[maba_de]

Die Anwendung hatte eine Signatur.

richtig.
Und Wardle hat auch schon Apps im Store publizieren können, die infiziert waren.
Auch hier ist man nicht gefeit vor möglichen Infekten, auch wenn sie selten sind.

 

[lisanet]

Die Anwendung hatte eine Signatur.

... signiert ja, aber halt nicht notariziert.

 

[gishmo]

Manchmal reicht schon die Lust mit JavaScript zu entwicklen: