COMO O WINDTAIL E OUTRO MALWARE IGNORAM AS CONFIGURAÇÕES DO GATEKEEPER DO MAC
COMO O WINDTAIL E OUTRO MALWARE IGNORAM AS CONFIGURAÇÕES DO GATEKEEPER DO MACOS
Notícias recentes de que o malware WindTail.A não foi detectado pelo software de legado AV, cerca de 4 meses depois de ser descoberto por pesquisadores, conseguiram algumas respostas típicas de usuários de Mac desavisados. Elas variam de “Macs não pegam vírus” e “software antivírus é desnecessário em um Mac” para “as proteções internas da Apple impediriam a execução de malwares”.
Como este comentário típico do fórum do fórum revela, há muita confusão e mal-entendidos sobre exatamente o que as proteções internas da Apple são capazes de fazer:
Na verdade, não existe essa configuração como “Executar apenas aplicativos assinados”, mas usuários experientes do Mac entenderão que o pôster está se referindo à tecnologia Gatekeeper da Apple e a capacidade de escolher entre “App Store” e “App Store e desenvolvedores identificados ”Uma terceira opção, rodando “Apps from Anywhere” foi removida da interface System Preferences no High Sierra, mas ainda é possível permitir tanto a partir da linha de comando quanto a cada caso usando o menu contextual no Localizador.
Claramente, o pôster acima acredita - e é uma crença comum entre os usuários de Mac, em nossa experiência - que se o Gatekeeper estiver configurado como “App Store” ou “App Store e desenvolvedores identificados”, malware como
WindTail.A
, ou qualquer outro aplicativo não assinado, não seria possível executar no macOS, a menos que o usuário deliberadamente decidisse substituir essas configurações.
Por razões que explicaremos a seguir, embora essa crença possa ser até certo ponto compreensível, é de fato totalmente falsa.
O Mito do Mac Seguro
Nós mencionamos anteriormente que a segurança embutida da Apple é facilmente contornada , mas o potente marketing da Apple é uma mensagem difícil para derrubar. Em todos os níveis de interação com o usuário, a Apple vende o mito do Mac seguro:
Existem várias mensagens, como a acima, na documentação voltada para o cliente da Apple, acessível pela Apple.com. Em face disso, parece não haver ambiguidade nessas mensagens: o Gatekeeper bloqueia malware e controla o que pode ser executado em um Mac. Dada uma mensagem tão forte, não é de admirar que usuários como "markgo" estejam convencidos de que, se o Gatekeeper estiver ativado, o malware não poderá entrar no sistema.
Leia um pouco mais de perto, no entanto, e você notará que a mensagem é mais altamente qualificada do que a primeira pode aparecer. Relativamente falando, o Gatekeeper realmente torna o download de aplicativos da Internet mais seguro do que não ter o Gatekeeper. Da mesma forma, os IDs de desenvolvedor permitem que alguns malwares sejam bloqueados. Mas isso não é o mesmo que bloquear todos os malwares, ou até mesmo a maioria deles.
O mais importante, no entanto, é que essa mensagem não diz que o Gatekeeper bloqueia os aplicativos que não estão assinados e também não diz que as configurações do Gatekeeper garantem que apenas aplicativos baixados da App Store ou assinados com um ID de desenvolvedor possam ser executados no Mac. Essas alegações, embora amplamente aceitas, não são de fato feitas pela Apple em qualquer lugar, e por uma boa razão: elas seriam de fato falsas.
Como o gatekeeper realmente funciona
Infelizmente para usuários de Mac desprotegidos, o Gatekeeper não impede que todos ou até mesmo a maioria dos malwares sejam executados em um Mac, mesmo quando ele está definido apenas com a política mais rígida, “App Store”. Neste vídeo, mostramos como é fácil baixar e instalar qualquer aplicativo. Não entre em pânico, não estamos revelando um dia zero! Essa é uma técnica padrão usada amplamente por softwares legítimos e ilegítimos. É um que vemos utilizado diariamente por instaladores de adware trojan.
Isso é possível pela simples razão de que o Gatekeeper só entra em ação quando o usuário tenta baixar ou instalar o software por meio de outros aplicativos, como o Safari, o Mail, as Mensagens e aqueles que estão registrados como “LSQuarantineAgents”. No entanto, existem outras maneiras de obter software em um Mac, como por exemplo,
curl
como mostrado no vídeo, que não exige passar por um LSQuarantineAgent . Quando isso ocorre, o Gatekeeper fica cego para a existência desse software.
O objetivo do
LSQuarantineAgent
é marcar o download com um “bit de quarentena”. É a presença desse bit que invoca a política de avaliação de segurança (as verificações de nível de sistema que suportam o Gatekeeper) e o XProtect (a tecnologia de detecção de assinatura da Apple). Sem esse bit, nenhuma dessas tecnologias de segurança é chamada.Como os atacantes quebram o problema da galinha e do ovo
Isso levanta a questão, é claro, de como os invasores entram no sistema para baixar aplicativos sem acionar o Gatekeeper. Existem alguns cenários, todos os quais temos visto em estado selvagem. O mais comum é através de um usuário desavisado executando um instalador de trojan. O próprio instalador pode ser um aplicativo ou um script disfarçado de instalador para algo que o usuário considera confiável. Os instaladores do Flash Player falsos são, de longe, os mais comuns:
Às vezes, esses instaladores falsos são, eles próprios, aplicativos assinados validamente, mas não precisam ser. Nesse caso, o
Player.command
ícone pode parecer um ícone de aplicativo, mas, na verdade, é apenas um script básico que passa pelo Gatekeeper e instala sua carga via curl
:
Outro cenário ocorre quando um invasor obtém entrada por meio de SSH ou login remoto e pode executar ou fazer download de malware diretamente por conta própria. Em situações corporativas e para Macs com usuários compartilhados, há a possibilidade de insiders maliciosos e funcionários descontentes que podem usar
curl
ou outros utilitários de download instalarem malware em um Mac que, superficialmente, parece estar protegido pelas configurações do Gatekeeper.WindTail, Gatekeeper e XProtect
Tudo isso nos leva ao WindTail e ao Gatekeeper. Nós não sabemos como o APT WindShift infectou seus usuários, mas é bem provável que eles pegaram um dos três caminhos que descrevemos acima para obter payloads no Mac alvo. Com o Gatekeeper sendo ignorado, pode ser razoável pensar que, com certeza, a tecnologia de detecção da Apple, o XProtect, funcionaria e salvaria o dia.
Infelizmente, isso não vai acontecer por dois motivos. Não há assinatura para o WindTail no XProtect. A Apple revogou a assinatura do desenvolvedor que foi usada na amostra original, mas não adicionou uma detecção específica para ela. Segundo, mesmo se o XProtect tivesse uma assinatura para o WindTail, ele nunca teria sido acionado pela mesma razão que o Gatekeeper nunca foi acionado. O XProtect depende dos LSQuarantineAgents para marcar os arquivos com um
com.apple.quarantine
pouco. Este bit informa ao LaunchServices para invocar o XProtect quando um executável é iniciado, como neste eicar
exemplo:
Se o bit estiver ausente ou removido, o XProtect nunca será chamado. Até agora, provavelmente não será uma surpresa saber que o bit está definido no arquivo por ninguém menos que os mesmos LSQuarantineAgents nos quais o Gatekeeper confia. Assim, qualquer malware baixado que contorne o Gatekeeper também ignora o XProtect.
Para os clientes do SentinelOne, o WindTail.A é reconhecido e bloqueado na execução, independentemente de como foi instalado no sistema e independentemente das configurações ineficazes do Gatekeeper.
Take Aways
A Apple tem uma mensagem de marketing poderosa e contundente em relação à segurança do macOS e não é de admirar que muitos usuários não estejam cientes de quão ineficazes são essas tecnologias de segurança incorporadas. É por isso que empresas e usuários finais reconhecem cada vez mais a importância da solução de defesa profunda, como o SentinelOne. Com estratégias de detecção pré e pós-execução, controle de dispositivos e firewall e visibilidade profunda de todos os processos, a solução SentinelOne oferece prevenção e detecção de ataques em todos os principais vetores, eliminação rápida de ameaças e visibilidade completa do ambiente de endpoint .
Gosta deste artigo? Siga-nos no LinkedIn , Twitter , YouTube ou Facebook para ver o conteúdo que publicamos.
Comentários
Postar um comentário