image

Onderzoeker: meeste Mac-malware loopt hopeloos achter

vrijdag 31 juli 2015, 15:19 door Redactie, 12 reacties

De meeste malware voor Mac OS X loopt hopeloos achter ten opzichte van Windows-malware, zo stelt onderzoeker Patrick Wardle. "Om een vergelijking te trekken, het is bijna waar Windows-malware 10 tot 15 jaar geleden was", zo laat hij tegenover Threatpost weten. De meeste exemplaren die Wardle tegenkomt zijn losse bestanden die eenvoudig via de activiteitenmonitor zijn te vinden.

De onderzoeker maakt zich echter zorgen over de Mac-malware die onbekend is en door het achterblijven van geavanceerde detectietools ook onopgemerkt blijft. Waar Windows over geavanceerde en agressieve tools beschikt om malware op te sporen, zijn die er niet voor OS X, waardoor geavanceerde dreigingen mogelijk gemist worden. Daarom zal hij tijdens de komende Black Hat conferentie in Las Vegas demonstreren hoe "elegante" Mac-malware is te maken, die de anti-malware-maatregelen van OS X en beveiligingstools van derden kan omzeilen.

Zo laat Wardle zien hoe Gatekeeper op afstand is te omzeilen om niet-gesigneerde en gedownloade code uit te voeren en hoe alle populaire virusscanners en firewalls via eenvoudige malware zijn te omzeilen. De onderzoeker sluit echter af met verschillende gratis security-tools die geavanceerde Mac-malware kunnen detecteren of zelfs voorkomen. "Met deze tools zorgen we ervoor dat onze computers beter beschermd zijn tegen zowel huidige als toekomstige Mac-malware."

Reacties (12)
31-07-2015, 15:57 door Anoniem
Bedankt! Kunnen we op basis van zijn presentatie weer verder knutselen. Zo "geavanceerd" zal de nieuwste beveiliging dan ook nog wel niet zijn.
31-07-2015, 16:07 door Anoniem
Hij heeft geen geavanceerde malware gevonden, omdat de tools op MAC niet geavanceerd genoeg zijn om die te vinden.

Peter
31-07-2015, 16:21 door Anoniem
De meeste malware voor Mac OS X loopt hopeloos achter

'Meeste' van niks

If any dus, want zoveel is er niet en inderdaad wat er is beperkt zich voornamelijk tot adware en redelijk zichtbaar te detecteren processen en of bestandslocaties waar files te verwijderen zijn.

Een meer grote uitzondering daarop volgt de malware van zogenaamde legaal geboefte, bedrijven en overheden die zelf malware ontwikkelen om zogenaamd boeven te vangen of politieke andersgezinden aan te vallen.

Nogal dubieus en gevaarlijk

Mijns inziens ook nogal dubieus is het als je zelf een security product hebt ontwikkeld dat via een omweg meer gewicht probeert te geven door bij gebrek aan advanced malware dan zelf de markt een handje te helpen.

Nu is het op zich usance onder onderzoekers kwetsbaarheden te vinden, als security leverancier demonstratie concepten te gaan leveren terwijl je ook leverancier bent van security software/oplossingen is al gevaarlijk dicht bij het loslaten van malware in het wild zonder eigen naamsvermelding.
Dan zouden we natuurlijk met zijn allen in de gordijnen hangen.
Van dat soort vermoedens hoor je wel eens, we gaan er maar vanuit dat dat niet gebeurt.

Aankomende trend?
Maar als we het in het openbaar doen is dat heel normaal en acceptabel, toch?
Van een trend lijkt nog geen sprake maar het is niet nieuw, ander voorbeeldje.

Fout fouter foutst?
Recent was er een klein, nou eigenlijk niet, onderbelicht akkefietje onder security onderzoekers, de ene ging geloof ik met een ontdekking van een ander aan de haal om het publiek te maken.
Een serieus security issue in Yosemite dat zonder het te verifiëren met Apple direct in het openbaar gegooid.

https://www.sektioneins.de/en/blog/15-07-07-dyld_print_to_file_lpe.html

Met, jawel, een eigen tool erbij om het te verhelpen, maar vooral als vehikel om eigen dure security seminars onder de aandacht te brengen.

https://github.com/sektioneins/SUIDGuard
https://sektioneins.de/blog/15-07-06-trainingFrankfurt.html

Is dit de kant die we opgaan?
Bij gebrek aan moeite inzichten en kennis aan de kant van criminelen dat security researchers met commerciële belangen in de markt hun kennis gaan inzetten om productie van malware impliciet aan te moedigen om zo de importantie en relevantie van eigen producten te verhogen.

Samengevat : concrete dreigingen voor Mac OS X creëren en faciliteren om er zelf beter van te worden.

Wie bepaalt apples beleid?
Een ander excuus dat in het artikel gebruikt wordt is een beetje merkwaardig.
Het excuus dat Apple de eigen aangebrachte security mogelijkheden moet versterken.
Daar ben ik op zich niet op tegen maar het is een vorm van chantage en interfereren in het eigen beleid van Apple het OS X zo vorm te geven als het wenst.

Meer concreet; de ingebouwde XProtect functie met een aantal definities opgenomen van de 'meest' vervelende voorkomende malware dreigingen (dat zijn er niet veel).
XProtect is qua efficiëntie volstrekt niet te vergelijken met een compleet AV product, anderen, waaronder deze security researcher maken (al dan niet bewust of verkeerd moedwillig) de fout dat wel te doen uit een merkwaardig eigenbelang.

Wanneer je alle malware exemplaren voor de Mac (wat er vermoedelijk minder zijn dan 500 verspreid over minder dan 60 malware families/soorten) loslaat op de XProtect functie zal het inderdaad bepaald geen 100% presteren in vergelijking met AV scanners.
Xprotect is helemaal niet voor een dergelijke werking ontworpen of lijkt bewust niet door Apple op deze wijze gebruikt.

Bewust naast de pot pissen
Blijven volharden als onderzoeker of criticaster door te stellen dat het zo slecht presteert is dus nogal (bewust) dom gedrag en een poging niet begrepen beleid van Apple met oneigenlijke argumenten aan te vallen.

Waarom Apple de Xprotect functie niet eenvoudig uitbreidt tot een meer volledige scanner (zoveel malware is er niet) en alle bekende definities toe te voegen is mij eerlijk gezegd ook een raadsel, maar bewust verkeerder vergelijkingen maken blijft toch een irritante stupide poging te gaan zitten op de beleidsstoel van Apple en iets te forceren waar je niet over gaat.
Wee dan recht door zee en concreet in je kritiek en zeg dan dat XPRotect de eenvoudige potentie heeft een volwaardig AV product te worden en dat Apple die kans laat liggen.

Misschien wil Apple om wat voor reden dan ook helemaal niet concurreren met de AV markt. Ze zou dan een hoop shit de markt uit concurreren maar misschien ook onderzoeks enthousiasme op dreigingen wat dan weer zou betekenen dat Apple daarvoor zelf een team zou moeten oprichten.

Volwassen eerlijke discussie gewenst
In ieder geval, hoewel het goed is te kijken waar de security van een product beter kan is het van een zeer bedenkelijk niveau dreigingen te gaan lopen creëren als je zelf ook een security product 'verkoopt'.
Want dat is het wel een beetje, ex NSA heer Wardle biedt nog wel iets gratis aan maar dat zou best wel eens de aanloop kunnen zijn tot een commercieel product.

Ik ben helemaal voor veiligheid en security, voor elk OS en dus ook voor Mac OS X.
Waar ik kromme tenen van krijg is bij het voorspelbare dubbele bodem enthousiasme van allerlei partijen in de markt.

Hey, we hebben producten maar nog onvoldoende dreigingen.
Laten we de werkelijkheid een beetje helpen en onderwijl Apple de rode kaart toeschuiven.
Nogal twijfelachtig en dubieus en zeker met werkervaring bij een organisatie met een nogal questionable track record op het gebied van security.

Maar het kan allemaal super goed bedoeld zijn natuurlijk
het kwam er alleen een beetje rottig en ongelukkig uit?


P.s., zou het lukken, een keer een normale security discussie over MAC OS X te kunnen voeren of moet er weer getrolld worden? Probeer het nou eens een keer, goed voor security.nl en gewoon veel interessanter.

Dus niet meer veel van dit soort niet of absurd slecht onderbouwd gezwams van niet Mac OS X gebruikers :
https://www.security.nl/posting/436676/Testlab%3A+ervaren+Mac-gebruiker+kan+zonder+virusscanner
Niemand schiet er wat mee op namelijk, neem jezelf ook serieus of reageer op een topic waar je wel verstand van hebt
31-07-2015, 16:23 door Anoniem
En nu wachten we op de os x fanboys die dit onderzoek gaan tegenspreken.
Altijd fijn wanneer de hobie bob het beter weet.
31-07-2015, 18:06 door karma4
Door Anoniem: En nu wachten we op de os x fanboys die dit onderzoek gaan tegenspreken.
Je wens werd sneller vervuld dan je kon posten.

Voor de fun http://obamapacman.com/2011/01/what-happens-when-you-steal-a-hackers-mac/
Het blijven ontkennen dat er malware voor mac's bestaan waarom toch. Een tegenvoorbeeld zou genoeg moeten zijn.
http://www.cnet.com/news/apple-updates-macs-without-asking-but-its-to-foil-hackers/

Dan blijft over de afweging risico/impact. Dat is een onderwerp waar velen ongeacht OS / leverancier moeite mee hebben. Kan het zijn omdat ze er te veel betrokken bij zijn? Openheid onafhanklijkheid zijn juist met security belangrijk.
31-07-2015, 18:49 door Joep Lunaar
Door Anoniem: Hij heeft geen geavanceerde malware gevonden, omdat de tools op MAC niet geavanceerd genoeg zijn om die te vinden.
De meest geavanceerde programmatuur voor forensisch onderzoek, intrusion detection, netwerk en protocol monitoring, firewalls draaien onder Linux, BSD en dus meestal ook wel onder Mac OS X. En welk gespuis en ellende is dan het onderwerp van inspectie en bestrijding ... (vul zelf maar in).

O ja, veel Linux en Mac OSX systemen, en de meeste e-mailservers (typisch Linux/BSD), scannen op virii, waarvan er geen een bedreiging is voor de scanhost zelf, maar wel voor ... (en vul zelf maar weer in).
31-07-2015, 19:13 door karma4 - Bijgewerkt: 31-07-2015, 19:28
Door Joep Lunaar: ,en de meeste e-mailservers (typisch Linux/BSD) .
Daar noem je iets leuks. Web-servers en email-servers (routers) zijn vaak de eerste aanvalsvectors om slachtoffers te maken. Die servers vallen bij bosjes ten prooi aan hackers. Het is niet de bedoeling om ze plat te halen maar om ze lekker door te laten draaien om de echte slachtoffers te bereiken. Alleen in het geval van gijzeling (ransom) zullen ze het down halen. http://thehackernews.com/2014/06/cyber-attack-on-code-spaces-puts.html De baten komen niet uit het zo maar downhalen van servers, er moet ergens geld vandaar komen. Wie zou er geld gaan geven en waarvoor?

Leuk dat de chache http://www.makeuseof.com/tag/mac-user-ransomware-easily-remove-malware-threat/ voor een boel verwarring kan zorgen (ongeacht het OS) als er nog niets ernstigs is gebeurd.

Forensic... dat was woord ome mee te zoeken. http://macsecurity.net/view/80/ [/ur]/ Als er zoveel waardevolle informatie op die machines staat (appel eigenaars hebben de naam rijk te zijn) zou er geen belangstelling voor die informatie zijn? Als er belangstelling voor die informative is, dan is er aandacht om er bij te komen.
31-07-2015, 21:51 door Anoniem
Door karma4:
Het blijven ontkennen dat er malware voor mac's bestaan waarom toch.

De enige die dat roept of op dergelijke conclusies aanstuurt ben je zelf zodat je als Windows manneke (wat doe je hier?) kan blijven trollen in Mac topics.

Triest
01-08-2015, 11:16 door Briolet
Door karma4:Het blijven ontkennen dat er malware voor mac's bestaan waarom toch. Een tegenvoorbeeld zou genoeg moeten zijn.

Ik weet niet wat je met tegenvoorbeeld bedoelt, want jouw citaat geeft juist het tegendeel aan: Er is een lek in NTP ontdekt. Apple schat dit als gevaarlijk in en repareert het met hun zwaarste middel via een automatische update, die de gebruiker niet kan weigeren, vóórdat er malware verschenen is die dit lek kan misbruiken.
02-08-2015, 07:49 door karma4 - Bijgewerkt: 02-08-2015, 07:50
Door Briolet: Ik weet niet wat je met tegenvoorbeeld bedoelt, .....
Als je security bewust bezig bent moet je een aantal denkwijzes ontwikkelen en voorstaan. https://en.wikipedia.org/wiki/Risk_IT#Risk_IT_principles en https://nl.wikipedia.org/wiki/Informatiebeveiliging
1- Stel vast welke gegevens wat voor waarde hebben en welke schade het bij verlies kan opleveren (risico/impact)
2- Zorg dat de gegevens verwerkende systemen "adequaat" zijn ingericht voor die verwerking met de risico mitigatie
(actie preventie)
3- Monitor wat er op de systemen met de gegevens gebeurt zodat je op nog onbekende bedreigingen kan reageren
(actie detectie)
4- Aangezien niets statisch is dient het geheel regelmatig doorgelopen en gevalueerd te worden (PDCA) met borging

Zie nu ook het oorspronkelijke artikel, het is een goed mac specialist. Je kunt het ook zo lezen dat zodra degenen die allle geleerde taktiek met malware maken overstappen naar OSx je een groot probleem hebt. Dat is niets anders dan een informatieve boodschap. Het past in de houding van informatiebeveiliging om dat in het grotere verhaal mee te nemen.

Kijk nu naar de reactie zoals anoniem hierboven. Hij is NIET met informatiebeveiliging bezig alleen met zijn speeltje. Dat soort boodschappen en gedrag is vreselijk storend. Het is iets wat ik ook zie gebeuren bij al die meer serieuze zaken dan een zolderkamer toepassing. Waar moet je wel aan denken, bijvoorbeeld: https://www.security.nl/posting/436562/600TB+aan+MongoDB-databases+vrij+toegankelijk+via+internetWar.
Bedenk, Het is maar een voorbeeld. echter niet veel anders dan ik de dagelijkse praktijk ook zie.

De eerste engelstalige link, sorry engelstalig en "This article may be too technical for most readers to understand." .
Een van de peilers in dat verhaal is erkennen dat er een eigen verantwoordelijkheid voor de eigen gegevens is.
Alle reacties die ik zie met de houding: ik heb geen probleem wat de leverancier lost het wel voor me op vind ik fout.
De houding van Apple stelt zelf we een fout vast en herstelt dat voor mij wel, dus ik hoef niets te doen en niet na te denken is heel kwalijk. Nu springen alle Apple adepten vast op de kast, waarom niet met mongodb of niet met ....

Hoe eet je een olifant .... beginnen met kleine hapjes.
03-08-2015, 18:32 door Anoniem
Door Anoniem: En nu wachten we op de os x fanboys die dit onderzoek gaan tegenspreken.
Altijd fijn wanneer de hobie bob het beter weet.

De onderzoeker waar het hier om gaat werkt bij dit bedrijf: https://www.synack.com

Een bedrijf wat zoekt naar kwetsbaarheden in besturingssystemen om daar een goed belegde boterham aan te verdienen.
04-08-2015, 15:44 door Anoniem
Door Anoniem:
De meeste malware voor Mac OS X loopt hopeloos achter

If any dus, want zoveel is er niet en inderdaad wat er is beperkt zich voornamelijk tot adware en redelijk zichtbaar te detecteren processen en of bestandslocaties waar files te verwijderen zijn.

Dat is dus juist waar het in het artikel om gaat, dat de scanners goede malware niet vinden doordat ook de scanners hierop niet voorbereid zijn. De onderzoeker maakt zich echter zorgen over de Mac-malware die onbekend is en door het achterblijven van geavanceerde detectietools ook onopgemerkt blijft.

Ik zeg niet dat het zo is, maar vind het wel een relevante stelling.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.