Ricardo Amaral a.k.a L0gan

Agenda

Mach-O – Uma nova Ameaça

0x00 Motivação da Pesquisa0x01 OS X, O Novo Alvo0x02 O Formato Mach-O0x03 Tools - Análise (Estática / Dinâmica)0x04 Ameaças Atuais0x05 Conclusão

0x00 - Motivação da Pesquisa

Mach-O – Uma nova Ameaça

Windows pega vírus !!! Linux pega vírus?

“Mac não pega vírus”

Mach-O – Uma nova Ameaça

Fonte: www.virustotal.com

0x01 – OS X, O Novo Alvo

Mach-O – Uma nova Ameaça

Fonte: www.virustotal.comPeríodo de 7 dias em Abril de 2014

0x01 – OS X, O Novo Alvo

Mach-O – Uma nova Ameaça

Fonte: www.virustotal.com

Período de 7 dias em Abril de 2015

0x01 – OS X, O Novo Alvo

Mach-O – Uma nova Ameaça

Fonte: www.virustotal.com

0x01 – OS X, O Novo Alvo

Mach-O – Uma nova Ameaça

Fonte: http://gizmodo.uol.com.br/sistema-operacional-da-apple-foi-a-plataforma-mais-vulneravel-de-2014

0x01 – OS X, O Novo Alvo

Mach-O – Uma nova Ameaça

Fonte: http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014

0x01 – OS X, O Novo Alvo

Mach-O – Uma nova Ameaça

Binário (Linux)

Binário (Windows)

Binário (OS X)

0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

O mach-o foi adotado como padrão no OS X a partir da versão 10.6.

Atualmente estamos na versão 10.10 (Yosemite).

0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

CA FE BA BE - Mach-O Fat Binary

FE ED FA CE - Mach-O binary (32-bit)FE ED FA CF - Mach-O binary (64-bit)CE FA ED FE - Mach-O binary (reverse byte 32-bit)CF FA ED FE - Mach-O binary (reverse byte 64-bit)

0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

Mach-O (Mach Object)

HEADERLOAD COMMANDSSECTIONS

Arquitetura do código objeto

ppc ppc64 i386 x86_64 armv6 armv7 armv7s arm64

0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

HEADER0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

LOAD COMMANDS0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

SECTIONS0x02 - O Formato Mach-O

Mach-O – Uma nova Ameaça

0x03 – Tools - Análise (Estática / Dinâmica)

Análise Dinâmica

- xcode (graphical) - ida Pro (graphical) - lldb - fseventer - open snoop - activity Monitor (graphical) - procoxp - tcpdump - cocoaPacketAnalyzer (graphical) - wireshark (graphical) - lsock

Análise Estática

- file - strings - editores hexa (graphical) - lipo - otool - nm - codesign - machOView (graphical) - hopper (graphical) - class-dump

Mach-O – Uma nova Ameaça

0x03 – Tools - Análise (Estática)

mach-o

FILE

Mach-O – Uma nova Ameaça

STRINGS0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

EDITORES HEXA

0xED

HexEdit

wxHexEditor

0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

0xcafebabe

LIPO0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

LIPO0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

OTOOL0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

NM0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

CODESIGN0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

MACH O VIEW0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

HOPPER0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

CLASS-DUMP0x03 – Tools - Análise (Estática)

Mach-O – Uma nova Ameaça

- Manter o Software de Virtualização Atualizado- Ferramentas de Sistema (Tools) Instaladas na VM- Rede em modo Host-Only- Se utilizar Pasta Compartilhada (Host) deixá-la

como "somente leitura“.- Desativar o Gatekeeper (Allow apps downloaded from: Anywhere)

VMWARE FUSION / PARALLELS / VIRTUALBOX

0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

XCODE0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

IDA PRO0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

LLDB0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

FSEVENTER0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

OPEN SNOOP0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

ACTIVITY MONITOR0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

PROCXP0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

TCPDUMP0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

COCOA0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

WIRESHARK0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

LSOCK0x03 – Tools - Análise (Dinâmica)

Mach-O – Uma nova Ameaça

0x04 – Ameaças Atuais

Mach-O – Uma nova Ameaça

Fonte: www.virustotal.com

0x04 – Ameaças Atuais

Mach-O – Uma nova Ameaça

Fonte: www.virustotal.com

0x04 – Ameaças Atuais

Mach-O – Uma nova Ameaça

Mac.BackDoor.OpinionSpy.3

Names: MacOS_X/OpinionSpy.A (Microsoft), Mac.BackDoor.OpinionSpy.3 (F-Secure),Mac.BackDoor.OpinionSpy.3 (Trend)

.OSA --> ZIP: PremierOpinion upgrade.xml

Fonte:http://vms.drweb.com/virus/?i=4354056&lng=enhttp://news.drweb.com/show/?i=9309&lng=en&c=5

0x04 – Ameaças Atuais

Mach-O – Uma nova Ameaça

OSX_KAITEN.A

Names: MacOS_X/Tsunami.A (Microsoft), OSX/Tsunami (McAfee), OSX/Tsunami-Gen (Sophos), OSX/Tsunami.A (F-Secure), OSX/Tsunami.A (ESET)

binário: /tmp/.z

Fonte:http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_kaiten.a

0x04 – Ameaças Atuais

Mach-O – Uma nova Ameaça

OSX_CARETO.A

Names:MacOS:Appetite-A [Trj] (Avast)OSX/BackDoor.A (AVG)MAC.OSX.Backdoor.Careto.A (Bitdefender)OSX/Appetite.A (Eset)MAC.OSX.Backdoor.Careto.A (FSecure)Trojan.OSX.Melgato.a (Kaspersky)OSX/Backdoor-BRE (McAfee)Backdoor:MacOS_X/Appetite.A (Microsoft)OSX/Appetite-A (Sophos)

Fonte:http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_careto.a

0x04 – Ameaças Atuais

Mach-O – Uma nova Ameaça

Hacking is a way of life

0x05 – Conclusão

Referência:Sarah EdwardsREVERSE Engineering Mac Malware - Defcon 22https://www.defcon.org/images/defcon-22/dc-22-presentations/Edwards/DEFCON-22-Sarah-Edwards-Reverse-Engineering-Mac-Malware.pdf

https://developer.apple.com/library/mac/documentation/DeveloperTools/Conceptual/MachORuntime/index.html

http://www.agner.org/optimize/calling_conventions.pdf

ricardologanbr@gmail.com@l0ganbr

Contato

Obrigado!Perguntas ?