O documento discute o formato de arquivo Mach-O usado em sistemas operacionais Mac OS X, as ferramentas disponíveis para análise estática e dinâmica desse formato, e as principais ameaças atuais para Mac OS X, incluindo vários tipos de malware.

1. Ricardo Amaral a.k.a L0gan

2. Agenda
Mach-O – Uma nova Ameaça
0x00 Motivação da Pesquisa
0x01 OS X, O Novo Alvo
0x02 O Formato Mach-O
0x03 Tools - Análise (Estática / Dinâmica)
0x04 Ameaças Atuais
0x05 Conclusão

3. 0x00 - Motivação da Pesquisa
Mach-O – Uma nova Ameaça
Windows pega vírus !!!
Linux pega vírus?
“Mac não pega vírus”

4. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x01 – OS X, O Novo Alvo

5. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
Período de 7 dias em Abril de 2014
0x01 – OS X, O Novo Alvo

6. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
Período de 7 dias em Abril de 2015
0x01 – OS X, O Novo Alvo

7. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x01 – OS X, O Novo Alvo

8. Mach-O – Uma nova Ameaça
Fonte: http://gizmodo.uol.com.br/sistema-operacional-da-apple-foi-a-plataforma-mais-vulneravel-de-2014
0x01 – OS X, O Novo Alvo

9. Mach-O – Uma nova Ameaça
Fonte: http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014
0x01 – OS X, O Novo Alvo

10. Mach-O – Uma nova Ameaça
Binário (Linux)
Binário (Windows)
Binário (OS X)
0x02 - O Formato Mach-O

11. Mach-O – Uma nova Ameaça
O mach-o foi adotado como padrão no OS X a
partir da versão 10.6.
Atualmente estamos na versão 10.10 (Yosemite).
0x02 - O Formato Mach-O

12. Mach-O – Uma nova Ameaça
CA FE BA BE - Mach-O Fat Binary
FE ED FA CE - Mach-O binary (32-bit)
FE ED FA CF - Mach-O binary (64-bit)
CE FA ED FE - Mach-O binary (reverse byte 32-bit)
CF FA ED FE - Mach-O binary (reverse byte 64-bit)
0x02 - O Formato Mach-O

13. Mach-O – Uma nova Ameaça
Mach-O (Mach Object)
HEADER
LOAD COMMANDS
SECTIONS
Arquitetura do código objeto
ppc ppc64 i386 x86_64 armv6
armv7 armv7s arm64
0x02 - O Formato Mach-O

14. Mach-O – Uma nova Ameaça
HEADER0x02 - O Formato Mach-O

15. Mach-O – Uma nova Ameaça
LOAD COMMANDS0x02 - O Formato Mach-O

16. Mach-O – Uma nova Ameaça
SECTIONS0x02 - O Formato Mach-O

17. Mach-O – Uma nova Ameaça
0x03 – Tools - Análise (Estática / Dinâmica)
Análise Dinâmica
- xcode (graphical)
- ida Pro (graphical)
- lldb
- fseventer
- open snoop
- activity Monitor (graphical)
- procoxp
- tcpdump
- cocoaPacketAnalyzer (graphical)
- wireshark (graphical)
- lsock
Análise Estática
- file
- strings
- editores hexa (graphical)
- lipo
- otool
- nm
- codesign
- machOView (graphical)
- hopper (graphical)
- class-dump

18. Mach-O – Uma nova Ameaça
0x03 – Tools - Análise (Estática)
mach-o
FILE

19. Mach-O – Uma nova Ameaça
STRINGS0x03 – Tools - Análise (Estática)

20. Mach-O – Uma nova Ameaça
EDITORES HEXA
0xED
HexEdit
wxHexEditor
0x03 – Tools - Análise (Estática)

21. Mach-O – Uma nova Ameaça
0xcafebabe
LIPO0x03 – Tools - Análise (Estática)

22. Mach-O – Uma nova Ameaça
LIPO0x03 – Tools - Análise (Estática)

23. Mach-O – Uma nova Ameaça
OTOOL0x03 – Tools - Análise (Estática)

24. Mach-O – Uma nova Ameaça
NM0x03 – Tools - Análise (Estática)

25. Mach-O – Uma nova Ameaça
CODESIGN0x03 – Tools - Análise (Estática)

26. Mach-O – Uma nova Ameaça
MACH O VIEW0x03 – Tools - Análise (Estática)

27. Mach-O – Uma nova Ameaça
HOPPER0x03 – Tools - Análise (Estática)

28. Mach-O – Uma nova Ameaça
CLASS-DUMP0x03 – Tools - Análise (Estática)

29. Mach-O – Uma nova Ameaça
- Manter o Software de Virtualização Atualizado
- Ferramentas de Sistema (Tools) Instaladas na VM
- Rede em modo Host-Only
- Se utilizar Pasta Compartilhada (Host) deixá-la
como "somente leitura“.
- Desativar o Gatekeeper (Allow apps downloaded from: Anywhere)
VMWARE FUSION / PARALLELS / VIRTUALBOX
0x03 – Tools - Análise (Dinâmica)

30. Mach-O – Uma nova Ameaça
XCODE0x03 – Tools - Análise (Dinâmica)

31. Mach-O – Uma nova Ameaça
IDA PRO0x03 – Tools - Análise (Dinâmica)

32. Mach-O – Uma nova Ameaça
LLDB0x03 – Tools - Análise (Dinâmica)

33. Mach-O – Uma nova Ameaça
FSEVENTER0x03 – Tools - Análise (Dinâmica)

34. Mach-O – Uma nova Ameaça
OPEN SNOOP0x03 – Tools - Análise (Dinâmica)

35. Mach-O – Uma nova Ameaça
ACTIVITY MONITOR0x03 – Tools - Análise (Dinâmica)

36. Mach-O – Uma nova Ameaça
PROCXP0x03 – Tools - Análise (Dinâmica)

37. Mach-O – Uma nova Ameaça
TCPDUMP0x03 – Tools - Análise (Dinâmica)

38. Mach-O – Uma nova Ameaça
COCOA0x03 – Tools - Análise (Dinâmica)

39. Mach-O – Uma nova Ameaça
WIRESHARK0x03 – Tools - Análise (Dinâmica)

40. Mach-O – Uma nova Ameaça
LSOCK0x03 – Tools - Análise (Dinâmica)

41. Mach-O – Uma nova Ameaça
0x04 – Ameaças Atuais

42. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x04 – Ameaças Atuais

43. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x04 – Ameaças Atuais

44. Mach-O – Uma nova Ameaça
Mac.BackDoor.OpinionSpy.3
Names:
MacOS_X/OpinionSpy.A (Microsoft),
Mac.BackDoor.OpinionSpy.3 (F-Secure),
Mac.BackDoor.OpinionSpy.3 (Trend)
.OSA --> ZIP:
 PremierOpinion
 upgrade.xml
Fonte:
http://vms.drweb.com/virus/?i=4354056&lng=en
http://news.drweb.com/show/?i=9309&lng=en&c=5
0x04 – Ameaças Atuais

45. Mach-O – Uma nova Ameaça
OSX_KAITEN.A
Names:
MacOS_X/Tsunami.A (Microsoft),
OSX/Tsunami (McAfee),
OSX/Tsunami-Gen (Sophos),
OSX/Tsunami.A (F-Secure),
OSX/Tsunami.A (ESET)
binário:
/tmp/.z
Fonte:
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_kaiten.a
0x04 – Ameaças Atuais

46. Mach-O – Uma nova Ameaça
OSX_CARETO.A
Names:
MacOS:Appetite-A [Trj] (Avast)
OSX/BackDoor.A (AVG)
MAC.OSX.Backdoor.Careto.A (Bitdefender)
OSX/Appetite.A (Eset)
MAC.OSX.Backdoor.Careto.A (FSecure)
Trojan.OSX.Melgato.a (Kaspersky)
OSX/Backdoor-BRE (McAfee)
Backdoor:MacOS_X/Appetite.A (Microsoft)
OSX/Appetite-A (Sophos)
Fonte:
http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/osx_careto.a
0x04 – Ameaças Atuais

47. Mach-O – Uma nova Ameaça
Hacking is a way of life
0x05 – Conclusão
Referência:
Sarah Edwards
REVERSE Engineering Mac Malware - Defcon 22
https://www.defcon.org/images/defcon-22/dc-22-presentations/Edwards/DEFCON-22-
Sarah-Edwards-Reverse-Engineering-Mac-Malware.pdf
https://developer.apple.com/library/mac/documentation/DeveloperTools/Conceptual/MachO
Runtime/index.html
http://www.agner.org/optimize/calling_conventions.pdf

48. ricardologanbr@gmail.com
@l0ganbr
Contato
Obrigado!
Perguntas ?