Malware đã tìm được cách mới để ẩn giấu trong MAC của bạn
Diễn đàn - Ngày đăng : 10:31, 10/10/2018
Nhưng các hệ thống bảo vệ tương đối mạnh mẽ của macOS không dễ dàng để các mã độc này có thể tồn tại lâu dài trên các máy tính Apple, ngay cả khi chúng đã có chỗ dựa ban đầu vững chắc. Ngoài ra, các cách thức ẩn nấp trên hệ điều hành MacOS vào thời điểm này quá thịnh hành nên các kỹ thuật viên và máy quét phần mềm độc hại có thể nhanh chóng phát hiện ra và gắn cờ. Đó là lý do tại sao nhiều cách tiếp cận tinh tế hơn xuất hiện.
Tại hội nghị an ninh Virus Bulletin ở Montreal hôm thứ tư, nhà nghiên cứu bảo mật Mac Thomas Reed đang trình bày một trong những sự mở đầu nguy hiểm tiềm tàng như vậy. Khi bạn khởi chạy trình cài đặt ứng dụng trong macOS, một chương trình có tên Gatekeeper sẽ kiểm tra xem ứng dụng có xuất phát từ Mac App Store hay được ký mã hóa bởi một nhà phát triển đã đăng ký với Apple. Tất cả các chương trình hợp pháp phải được "ký mã" để thiết lập tính hợp lệ và tính toàn vẹn của chúng. Bằng việc kiểm tra chữ ký của một tập tin, Gatekeeper có thể cảnh báo bạn nếu một chương trình là phần mềm độc hại hoặc nếu ai đó đã giả mạo với một trình cài đặt an toàn khác.
Các kiểm tra chữ ký mã này là một bước bảo mật quan trọng. Nhưng Reed, giám đốc mảng Mac và các nền tảng di động tại công ty bảo mật Malwarebytes, đã nhận thấy rằng một khi chương trình vượt qua kiểm tra chữ ký mã và được cài đặt, macOS không bao giờ kiểm tra lại chữ ký của nó. Điều này có nghĩa là những kẻ tấn công mua chứng chỉ hợp pháp từ Apple — hoặc lấy cắp— có khả năng lừa người dùng Mac cài đặt phần mềm độc hại. Và nếu nó thành công trong việc lây nhiễm các chương trình hợp pháp khác sau khi được tải xuống, nó có thể không bị phát hiện vô thời hạn.
"Một khi bạn đã mở một ứng dụng, bạn sẽ không bao giờ nhận được một kiểm tra chữ ký mã một lần nữa trên macOS," Reed nói. "Vì vậy, ngay cả khi nó đã bị sửa đổi hoặc hư hại một cách độc hại và chữ ký mã không hợp lệ, hệ điều hành sẽ không kiểm tra lại nó. Điều đó cung cấp một cơ hội lớn cho phần mềm độc hại tồn tại. Nếu một mã độc lây nhiễm sang một vài ứng dụng có sẵn trong ổ đĩa của bạn, sau đó nó có thể vào trong đó và ở lại - bạn sẽ không bao giờ nghĩ đến việc tìm nó và nó có thể chạy ở chế độ nền mà bạn không hề biết. "
Trong một số trường hợp, cập nhật ứng dụng có thể kích hoạt kiểm tra mã hoặc ghi đè lên bất kỳ ảnh hưởng độc hại nào, nhưng Reed cho biết điều này không đáng tin cậy vì nhiều nhà phát triển chỉ xây dựng mã kiểm tra chữ ký cho mã cập nhật chứ không phải cho bản thân nền ứng dụng. Reed nói rằng các nhà phát triển có thể giúp giảm sự lây nhiễm bằng cách xây dựng kiểm tra chữ ký mã định kỳ tự nguyện trong suốt vòng đời của một ứng dụng. Theo kết quả của nghiên cứu này, Reed đã tự thêm xác minh chữ ký mã cho các sản phẩm Malwarebytes Mac để chúng thực hiện kiểm tra mỗi khi khởi chạy.
Mặc dù một số ứng dụng khác cũng có tính năng này nhưng nó vẫn còn rất hiếm, Reed cho biết. Apple cũng có thể điều chỉnh MacOS để thường xuyên kiểm tra việc ký mã nhưng công ty hiện không đưa ra bất cứ nhận xét gì.
Reed cho biết vấn đề này đã có mặt kể từ khi OS X Leopard được phát hành vào năm 2007. Tuy nhiên, lưu ý rằng, sự tiến bộ trong cách macOS xử lý các quyền hạn và bảo mật trong các lớp hệ điều hành khác nhau có thể giúp Apple thực hiện việc xác thực ký mã dễ dàng hơn. Công ty có thể cắt giảm tổng số kiểm tra mà hệ điều hành phải làm, ví dụ, bằng cách bỏ qua các tiến trình hệ thống không thể thay đổi được ngay cả khi root thiết bị.
Reed xem đây như là một cơ hội để nâng cao nhận thức về sự cần thiết phải kiểm tra mã tự nguyện. Là một phần trong nghiên cứu của mình, Reed đã thử nghiệm việc viết phần mềm độc hại thao túng các chương trình khác để ẩn bên trong khó khăn thế nào và kết quả là, tất cả những gì cần thiết là kết hợp một vài công cụ phát triển có thể tìm thấy trên mạng.
"Nó khá dễ dàng. Thực tế là tôi đã có thể làm điều đó trong một vài giờ đồng hồ, đồng nghĩa với việc một lập trình viên học việc cũng có thể làm ra một cái gì đó tương tự", ông nói. "Và đó không phải là có lỗ hổng trong các ứng dụng, chỉ là nếu họ không thực hiện kiểm tra chữ ký mã, như hầu hết các ứng dụng bây giờ, thì bạn có thể tuột mất mã của mình ở đó."