Informatica Generale, Linux, ransomware, Sicurezza Informatica

Malware su Mac : i riscontri

Alzino la mano tutti quelli che almeno una volta hanno sentito dire : “Beh con il Mac, non prendi i Virus”!
Beh se a me avessero dato 1€ ogni volta che ho sentito questa frase, oggi sarei ricco.
Duole infrangere questa miliare certezza su cui molti consumatori fondavano il dispiacere di dover spendere cifre astronomiche per comprarsi il sottile Pc con la mela.


Seppur benfatto macOS è un sistema operativo come un altro, è solo strutturato in modo più sicuro, ma ha anch’esso le sue debolezze.

Nell’ambito di una recente ricerca che ho condotto e approfondito ho rilevato riscontri circa la scoperta riguardante un malware per sistemi macOS distribuito mediante un sedicente programma per “crack” di Adobe Zii (suite Adobe per MAC), al momento riscontrato in due casi simili.

Ma facciamo un passo indietro, l’affermazione di inzio articolo è vera?
La risposta è No. O meglio, non è propriamente esatta, ma l’argomentazione è abbastanza strutturata e merita approfondimento:

OS X è un sistema operativo Unix-Based (bastao su Unix), tali sistemi risultano essere molto più sicuri dei sistemi Windows per la loro logica di permessi associata agli utenti.

Nei sistemi Unix-Based, ad ogni file o cartella (anche se la definizione di cartella in ambito unix non è corretta) possono essere associati 3 tipi di permessi (e la loro relativa negazione):

– Lettura: indicata con una “r”;
– Scrittura: indicata con una “w”;
– Esecuzione: indicata con una “x”.

La presenza o meno della “lettera” identificativa associa il relativo permesso. A questo va aggiunto il concetto della tripletta “UGO“: User, Group, Other.

Cerchiamo di comprenderlo con un esempio:

Il file daniele.txt presenta i seguenti campi.

Campo 1: Serve al sistema per capire se sia un File o una Directory
Campo 2: Permessi assegnati al proprietario del file
Campo 3: Permessi assegnati al gruppo (cui potranno far parte più utenti)
Campo 4: Permessi assegnati a tutti gli altri

Nel nostro esempio, sappiano che: si tratta di un file (1) , il proprietario può leggere e modificare il file (dan rw-) , gli utenti appartenenti allo stesso gruppo e tutti gli altri utenti (che non fanno parte del gruppo “staff”) possono solamente leggerlo.

Compreso questo concetto sui file, lo estendiamo a tutto il sistema operativo. Quando avviamo la prima volta il sistema operativo, andremo a creare un nostro primo utente, per definizione, questo utente sarà anche amministratore del sistema e questo vuol dire che l’utente appena creato avrà anche i permessi di modificarne i file.
Non trattandosi, però, dell’utente “root“ (super-user), il sistema richiederà di inserire la password utente per consolidare eventuali modifiche.
L’esempio più lampante della necessità di inserire la password è sicuramente Preferenze di Sistema : alcune aree, lo avrete notate, hanno un “lucchetto” che deve essere sbloccato inserendo la password.
Questo perché le modifiche avranno effetto sull’intero sistema.

Un sistema operativo Unix-Based, infatti, non permette di modificare elementi che abbiano effetti sull’intero sistema operativo, senza averne i privilegi. Questi privilegi vengono controllati inserendo, appunto, la password.

Ora che abbiamo compreso come lavora il nostro Mac, almeno se con informazioni minimali, possiamo anche capire come rispondere alla domanda iniziale: il Mac prende virus?

La risposta è Si, se l’utente non fa attenzione.

Il virus è un programma. Un programma deve essere eseguito: non importa cosa esso faccia, quando il virus viene eseguito, se va ad intaccare componenti di sistema operativo, OS X richiederà la password dell’utente amministratore.
Alcuni malware non intaccano tutto il sistema operativo: in questo caso, purtroppo, non verrà richiesta nessuna password, in quanto siamo già autenticati per poter lavorare su tutti i file ed impostazioni afferenti al nostro utente.

Fatto questo doveroso escursus torniamo ai due casi di malware su macOS riscontrati:

Nel primo caso si tratta di un documento *.docm (file di Word con Macro) che si presenta come testo estratto da un “BitcoinMagazine”. Le macro malevole ivi contenute sono capaci di aggirare le restrizioni delle sandobox di macOS e di scaricare mediante uno script in Python una backdoor Meterpreter.

L’altro caso riguarda un’applicazione che si spaccia per un Messenger adottato da giocatori online, chiamato Discord. Di fatto l’applicazione non fa nulla per trarre in inganno le vittime; una volta aperta, avvia lo script Automator che decodifica un payload in Python capace di rubare screenshot. Nel suo codice è contenuto anche il setup della backdoor Empyre.
Tutti e tre i malware presentano alcune similitudini nel codice che tuttavia non sono sufficienti a sostenere un’attribuzione comune.

  1. Quando lanciate un programma, e questo vi chiede la password, fate sempre attenzione prima di inserirla e chiedetevi se effettivamente deve avere effetto o no su tutto il sistema;
  2. Create un secondo utente, senza privilegi di amministratore, con cui lavorare normalmente: se il virus chiederà la password, voi non potrete installarlo. Inoltre, se non dovesse chiedere la password, i danni li farà unicamente su questo utente. Basterà loggarsi con utente amministratore ed eliminare l’utente e la sua home directory;
  3. Fate attenzione cosa scaricate e da dove: conosciamo bene quali siti siano sicuri e quali meno;
  4. Attenzione alle mail: molti virus si propagano proprio tramite mail. Controllate sempre il mittente ed eventuali link (basta un semplice copia e incolla su un file di testo per vedere l’URL che richiamerà);
  5. Attivate Time Machine: male che vada potrete tornare indietro all’ultimo backup utile.

Come sempre, basta un pò di accortezza nelle cose e si eviteranno molti problemi.

Come al solito a disposizione per ogni possibile dubbio o approfonidimento.

Linux, Microsoft, ransomware, Sicurezza Informatica

Una nuova minaccia Xbash colpisce l’Europa

Importante novità in campo “Corporate Security”  relativamente ad una nuova pericolosa ondata di attacchi in grado di creare gravi disservizi ai sistemi bersaglio.

I cyber attacchi sono originati da una particolare minaccia malware nota come “Xbash”, potenzialmente legata al gruppo criminale “Iron Group”, la quale presenta caratteristiche di grande virulenza e capacità di autopropagazione cross-piattaforma sia all’interno di sistemi Linux che Windows.

Ricercatori di terze parti hanno individuato varie tipologie di capacità offensive all’interno del codice dell’impianto malevolo, come la capacità di utilizzare exploit per propagarsi sui sistemi sfruttando software vulnerabili presenti al loro interno. Ad esempio Xbash risulta in grado di sfruttare criticità in servizi software come:

  • “Hadoop YARN”  ( vulnerabilità RCE risalente al 2016 nel Resource Manager di Hadoop YARN) ;
  •  “Redis”  ( vulnerabilità risalente al 2015 in grado di permettere scritture arbitrarie ed RCE non autenticati );
  • “ActiveMQ” (vulnerabilità in grado di permettere scritture arbitrarie sul sistema)

Oltre allo sfruttamento di queste vulnerabilità, l’impianto malware è in grado di effettuare scansioni di rete attive ed effettuare attacchi di tipo bruteforce con credenziali di default sui servizi di rete VNC, Rsync, MySQL, MariaDB, Memcached, PostgreSQL, MongoDB, e phpMyAdmin.

La grande pericolosità della minaccia risiede nelle azioni malevole perpetrate a seguito di una propagazione dove, oltre ad installarsi persistentemente sul sistema tramite Cronjob Linux o Windows Startup item, è il grado di:

  • Cancellare i dati all’interno dei database acceduti e richiedere riscatto in bitcoin (Fake Ransomware)
  •  Scaricare malware di tipo Trojan/Cryptominer per sfruttare la capacità computazionale dell’host vittima, causando forti rallentamenti (Windows)
  •  Scaricare malware di tipo Trojan/Ransomware in grado di rendere inutilizzabili dati e file presenti all’interno della macchina infettata (Windows)

E’ stata inoltre osservata la presenza di capacità di propagazione in rete LAN all’interno del codice della minaccia, tuttavia queste funzionalità risultano disabilitate nelle versioni al momento circolanti.

 

Porzione di Codice

Consiglio vivamente di verificare lo stato di vulnerabilità e di configurazione di eventuali servizi bersaglio esposti su internet, di pianificare l’installazione degli aggiornamenti e l’applicazione di policy di sicurezza per gli account configurati su di essi. In secondo luogo si suggerisce di estendere le attività di patching anche agli host non direttamente esposti su internet, in quanto future ondate potrebbero includere capacità di propagazione attraverso la rete interna.