O documento discute o formato de arquivo Mach-O usado em sistemas operacionais Mac OS X, as ferramentas disponíveis para análise estática e dinâmica desse formato, e as principais ameaças atuais para Mac OS X, incluindo vários tipos de malware.
2. Agenda
Mach-O – Uma nova Ameaça
0x00 Motivação da Pesquisa
0x01 OS X, O Novo Alvo
0x02 O Formato Mach-O
0x03 Tools - Análise (Estática / Dinâmica)
0x04 Ameaças Atuais
0x05 Conclusão
3. 0x00 - Motivação da Pesquisa
Mach-O – Uma nova Ameaça
Windows pega vírus !!!
Linux pega vírus?
“Mac não pega vírus”
4. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x01 – OS X, O Novo Alvo
5. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
Período de 7 dias em Abril de 2014
0x01 – OS X, O Novo Alvo
6. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
Período de 7 dias em Abril de 2015
0x01 – OS X, O Novo Alvo
7. Mach-O – Uma nova Ameaça
Fonte: www.virustotal.com
0x01 – OS X, O Novo Alvo
8. Mach-O – Uma nova Ameaça
Fonte: http://gizmodo.uol.com.br/sistema-operacional-da-apple-foi-a-plataforma-mais-vulneravel-de-2014
0x01 – OS X, O Novo Alvo
9. Mach-O – Uma nova Ameaça
Fonte: http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applications-in-2014
0x01 – OS X, O Novo Alvo
10. Mach-O – Uma nova Ameaça
Binário (Linux)
Binário (Windows)
Binário (OS X)
0x02 - O Formato Mach-O
11. Mach-O – Uma nova Ameaça
O mach-o foi adotado como padrão no OS X a
partir da versão 10.6.
Atualmente estamos na versão 10.10 (Yosemite).
0x02 - O Formato Mach-O
12. Mach-O – Uma nova Ameaça
CA FE BA BE - Mach-O Fat Binary
FE ED FA CE - Mach-O binary (32-bit)
FE ED FA CF - Mach-O binary (64-bit)
CE FA ED FE - Mach-O binary (reverse byte 32-bit)
CF FA ED FE - Mach-O binary (reverse byte 64-bit)
0x02 - O Formato Mach-O
13. Mach-O – Uma nova Ameaça
Mach-O (Mach Object)
HEADER
LOAD COMMANDS
SECTIONS
Arquitetura do código objeto
ppc ppc64 i386 x86_64 armv6
armv7 armv7s arm64
0x02 - O Formato Mach-O
14. Mach-O – Uma nova Ameaça
HEADER0x02 - O Formato Mach-O
15. Mach-O – Uma nova Ameaça
LOAD COMMANDS0x02 - O Formato Mach-O
16. Mach-O – Uma nova Ameaça
SECTIONS0x02 - O Formato Mach-O
18. Mach-O – Uma nova Ameaça
0x03 – Tools - Análise (Estática)
mach-o
FILE
19. Mach-O – Uma nova Ameaça
STRINGS0x03 – Tools - Análise (Estática)
20. Mach-O – Uma nova Ameaça
EDITORES HEXA
0xED
HexEdit
wxHexEditor
0x03 – Tools - Análise (Estática)
21. Mach-O – Uma nova Ameaça
0xcafebabe
LIPO0x03 – Tools - Análise (Estática)
22. Mach-O – Uma nova Ameaça
LIPO0x03 – Tools - Análise (Estática)
23. Mach-O – Uma nova Ameaça
OTOOL0x03 – Tools - Análise (Estática)
24. Mach-O – Uma nova Ameaça
NM0x03 – Tools - Análise (Estática)
25. Mach-O – Uma nova Ameaça
CODESIGN0x03 – Tools - Análise (Estática)
26. Mach-O – Uma nova Ameaça
MACH O VIEW0x03 – Tools - Análise (Estática)
27. Mach-O – Uma nova Ameaça
HOPPER0x03 – Tools - Análise (Estática)
28. Mach-O – Uma nova Ameaça
CLASS-DUMP0x03 – Tools - Análise (Estática)
29. Mach-O – Uma nova Ameaça
- Manter o Software de Virtualização Atualizado
- Ferramentas de Sistema (Tools) Instaladas na VM
- Rede em modo Host-Only
- Se utilizar Pasta Compartilhada (Host) deixá-la
como "somente leitura“.
- Desativar o Gatekeeper (Allow apps downloaded from: Anywhere)
VMWARE FUSION / PARALLELS / VIRTUALBOX
0x03 – Tools - Análise (Dinâmica)
30. Mach-O – Uma nova Ameaça
XCODE0x03 – Tools - Análise (Dinâmica)
31. Mach-O – Uma nova Ameaça
IDA PRO0x03 – Tools - Análise (Dinâmica)
32. Mach-O – Uma nova Ameaça
LLDB0x03 – Tools - Análise (Dinâmica)
33. Mach-O – Uma nova Ameaça
FSEVENTER0x03 – Tools - Análise (Dinâmica)
34. Mach-O – Uma nova Ameaça
OPEN SNOOP0x03 – Tools - Análise (Dinâmica)
35. Mach-O – Uma nova Ameaça
ACTIVITY MONITOR0x03 – Tools - Análise (Dinâmica)
36. Mach-O – Uma nova Ameaça
PROCXP0x03 – Tools - Análise (Dinâmica)
37. Mach-O – Uma nova Ameaça
TCPDUMP0x03 – Tools - Análise (Dinâmica)
38. Mach-O – Uma nova Ameaça
COCOA0x03 – Tools - Análise (Dinâmica)
39. Mach-O – Uma nova Ameaça
WIRESHARK0x03 – Tools - Análise (Dinâmica)
40. Mach-O – Uma nova Ameaça
LSOCK0x03 – Tools - Análise (Dinâmica)
47. Mach-O – Uma nova Ameaça
Hacking is a way of life
0x05 – Conclusão
Referência:
Sarah Edwards
REVERSE Engineering Mac Malware - Defcon 22
https://www.defcon.org/images/defcon-22/dc-22-presentations/Edwards/DEFCON-22-
Sarah-Edwards-Reverse-Engineering-Mac-Malware.pdf
https://developer.apple.com/library/mac/documentation/DeveloperTools/Conceptual/MachO
Runtime/index.html
http://www.agner.org/optimize/calling_conventions.pdf