O slideshow foi denunciado.

Bhack 2015 - mach-o Uma Nova Ameaça

0

Compartilhar

Próximos SlideShares
Funciones del lenguaje (1)
Funciones del lenguaje (1)
Carregando em…3
×
1 de 48
1 de 48

Bhack 2015 - mach-o Uma Nova Ameaça

0

Compartilhar

Baixar para ler offline

Com o grande advento de malwares nos últimos anos, sistemas com OS X podem ser vetores de ataques usando binários Mach-O, esta apresentação ilustra dissecação de algo malícioso bem como analise e algumas possibilidades para mitigação.

Com o grande advento de malwares nos últimos anos, sistemas com OS X podem ser vetores de ataques usando binários Mach-O, esta apresentação ilustra dissecação de algo malícioso bem como analise e algumas possibilidades para mitigação.

Mais Conteúdo rRelacionado

Audiolivros relacionados

Gratuito durante 14 dias do Scribd

Ver tudo

Bhack 2015 - mach-o Uma Nova Ameaça

  1. 1. Ricardo Amaral a.k.a L0gan
  2. 2. Agenda Mach-O – Uma nova Ameaça 0x00 Motivação da Pesquisa 0x01 OS X, O Novo Alvo 0x02 O Formato Mach-O 0x03 Tools - Análise (Estática / Dinâmica) 0x04 Ameaças Atuais 0x05 Conclusão
  3. 3. 0x00 - Motivação da Pesquisa Mach-O – Uma nova Ameaça Windows pega vírus !!! Linux pega vírus? “Mac não pega vírus”
  4. 4. Mach-O – Uma nova Ameaça Fonte: www.virustotal.com 0x01 – OS X, O Novo Alvo
  5. 5. Mach-O – Uma nova Ameaça Fonte: www.virustotal.com Período de 7 dias em Abril de 2014 0x01 – OS X, O Novo Alvo
  6. 6. Mach-O – Uma nova Ameaça Fonte: www.virustotal.com Período de 7 dias em Abril de 2015 0x01 – OS X, O Novo Alvo
  7. 7. Mach-O – Uma nova Ameaça Fonte: www.virustotal.com 0x01 – OS X, O Novo Alvo
  8. 8. Mach-O – Uma nova Ameaça Fonte: http://gizmodo.uol.com.br/sistema-operacional-da-apple-foi-a-plataforma-mais-vulneravel-de-2014 0x01 – OS X, O Novo Alvo
  9. 9. Mach-O – Uma nova Ameaça Fonte: http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014 0x01 – OS X, O Novo Alvo
  10. 10. Mach-O – Uma nova Ameaça Binário (Linux) Binário (Windows) Binário (OS X) 0x02 - O Formato Mach-O
  11. 11. Mach-O – Uma nova Ameaça O mach-o foi adotado como padrão no OS X a partir da versão 10.6. Atualmente estamos na versão 10.10 (Yosemite). 0x02 - O Formato Mach-O
  12. 12. Mach-O – Uma nova Ameaça CA FE BA BE - Mach-O Fat Binary FE ED FA CE - Mach-O binary (32-bit) FE ED FA CF - Mach-O binary (64-bit) CE FA ED FE - Mach-O binary (reverse byte 32-bit) CF FA ED FE - Mach-O binary (reverse byte 64-bit) 0x02 - O Formato Mach-O
  13. 13. Mach-O – Uma nova Ameaça Mach-O (Mach Object) HEADER LOAD COMMANDS SECTIONS Arquitetura do código objeto ppc ppc64 i386 x86_64 armv6 armv7 armv7s arm64 0x02 - O Formato Mach-O
  14. 14. Mach-O – Uma nova Ameaça HEADER0x02 - O Formato Mach-O
  15. 15. Mach-O – Uma nova Ameaça LOAD COMMANDS0x02 - O Formato Mach-O
  16. 16. Mach-O – Uma nova Ameaça SECTIONS0x02 - O Formato Mach-O
  17. 17. Mach-O – Uma nova Ameaça 0x03 – Tools - Análise (Estática / Dinâmica) Análise Dinâmica - xcode (graphical) - ida Pro (graphical) - lldb - fseventer - open snoop - activity Monitor (graphical) - procoxp - tcpdump - cocoaPacketAnalyzer (graphical) - wireshark (graphical) - lsock Análise Estática - file - strings - editores hexa (graphical) - lipo - otool - nm - codesign - machOView (graphical) - hopper (graphical) - class-dump
  18. 18. Mach-O – Uma nova Ameaça 0x03 – Tools - Análise (Estática) mach-o FILE
  19. 19. Mach-O – Uma nova Ameaça STRINGS0x03 – Tools - Análise (Estática)
  20. 20. Mach-O – Uma nova Ameaça EDITORES HEXA 0xED HexEdit wxHexEditor 0x03 – Tools - Análise (Estática)
  21. 21. Mach-O – Uma nova Ameaça 0xcafebabe LIPO0x03 – Tools - Análise (Estática)
  22. 22. Mach-O – Uma nova Ameaça LIPO0x03 – Tools - Análise (Estática)
  23. 23. Mach-O – Uma nova Ameaça OTOOL0x03 – Tools - Análise (Estática)
  24. 24. Mach-O – Uma nova Ameaça NM0x03 – Tools - Análise (Estática)
  25. 25. Mach-O – Uma nova Ameaça CODESIGN0x03 – Tools - Análise (Estática)
  26. 26. Mach-O – Uma nova Ameaça MACH O VIEW0x03 – Tools - Análise (Estática)
  27. 27. Mach-O – Uma nova Ameaça HOPPER0x03 – Tools - Análise (Estática)
  28. 28. Mach-O – Uma nova Ameaça CLASS-DUMP0x03 – Tools - Análise (Estática)
  29. 29. Mach-O – Uma nova Ameaça - Manter o Software de Virtualização Atualizado - Ferramentas de Sistema (Tools) Instaladas na VM - Rede em modo Host-Only - Se utilizar Pasta Compartilhada (Host) deixá-la como "somente leitura“. - Desativar o Gatekeeper (Allow apps downloaded from: Anywhere) VMWARE FUSION / PARALLELS / VIRTUALBOX 0x03 – Tools - Análise (Dinâmica)
  30. 30. Mach-O – Uma nova Ameaça XCODE0x03 – Tools - Análise (Dinâmica)
  31. 31. Mach-O – Uma nova Ameaça IDA PRO0x03 – Tools - Análise (Dinâmica)
  32. 32. Mach-O – Uma nova Ameaça LLDB0x03 – Tools - Análise (Dinâmica)
  33. 33. Mach-O – Uma nova Ameaça FSEVENTER0x03 – Tools - Análise (Dinâmica)
  34. 34. Mach-O – Uma nova Ameaça OPEN SNOOP0x03 – Tools - Análise (Dinâmica)
  35. 35. Mach-O – Uma nova Ameaça ACTIVITY MONITOR0x03 – Tools - Análise (Dinâmica)
  36. 36. Mach-O – Uma nova Ameaça PROCXP0x03 – Tools - Análise (Dinâmica)
  37. 37. Mach-O – Uma nova Ameaça TCPDUMP0x03 – Tools - Análise (Dinâmica)
  38. 38. Mach-O – Uma nova Ameaça COCOA0x03 – Tools - Análise (Dinâmica)
  39. 39. Mach-O – Uma nova Ameaça WIRESHARK0x03 – Tools - Análise (Dinâmica)
  40. 40. Mach-O – Uma nova Ameaça LSOCK0x03 – Tools - Análise (Dinâmica)
  41. 41. Mach-O – Uma nova Ameaça 0x04 – Ameaças Atuais
  42. 42. Mach-O – Uma nova Ameaça Fonte: www.virustotal.com 0x04 – Ameaças Atuais
  43. 43. Mach-O – Uma nova Ameaça Fonte: www.virustotal.com 0x04 – Ameaças Atuais
  44. 44. Mach-O – Uma nova Ameaça Mac.BackDoor.OpinionSpy.3 Names: MacOS_X/OpinionSpy.A (Microsoft), Mac.BackDoor.OpinionSpy.3 (F-Secure), Mac.BackDoor.OpinionSpy.3 (Trend) .OSA --> ZIP:  PremierOpinion  upgrade.xml Fonte: http://vms.drweb.com/virus/?i=4354056&lng=en http://news.drweb.com/show/?i=9309&lng=en&c=5 0x04 – Ameaças Atuais
  45. 45. Mach-O – Uma nova Ameaça OSX_KAITEN.A Names: MacOS_X/Tsunami.A (Microsoft), OSX/Tsunami (McAfee), OSX/Tsunami-Gen (Sophos), OSX/Tsunami.A (F-Secure), OSX/Tsunami.A (ESET) binário: /tmp/.z Fonte: http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_kaiten.a 0x04 – Ameaças Atuais
  46. 46. Mach-O – Uma nova Ameaça OSX_CARETO.A Names: MacOS:Appetite-A [Trj] (Avast) OSX/BackDoor.A (AVG) MAC.OSX.Backdoor.Careto.A (Bitdefender) OSX/Appetite.A (Eset) MAC.OSX.Backdoor.Careto.A (FSecure) Trojan.OSX.Melgato.a (Kaspersky) OSX/Backdoor-BRE (McAfee) Backdoor:MacOS_X/Appetite.A (Microsoft) OSX/Appetite-A (Sophos) Fonte: http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_careto.a 0x04 – Ameaças Atuais
  47. 47. Mach-O – Uma nova Ameaça Hacking is a way of life 0x05 – Conclusão Referência: Sarah Edwards REVERSE Engineering Mac Malware - Defcon 22 https://www.defcon.org/images/defcon-22/dc-22-presentations/Edwards/DEFCON-22- Sarah-Edwards-Reverse-Engineering-Mac-Malware.pdf https://developer.apple.com/library/mac/documentation/DeveloperTools/Conceptual/MachO Runtime/index.html http://www.agner.org/optimize/calling_conventions.pdf
  48. 48. ricardologanbr@gmail.com @l0ganbr Contato Obrigado! Perguntas ?

×