Windowsの実行ファイルを利用して、macOSのGatekeeperをバイパスするマルウェアが発見される。

スポンサーリンク

 Windowsの実行ファイルを利用して、macOSのGatekeeperをバイパスするマルウェアが発見されたそうです。詳細は以下から。

実行ファイルのアイコン。

 Trend Microのセキュリティ研究者Don Ladoresさん等によると、ここ最近アメリカやイギリス、オーストラリアなどのTorrentサイトで、macOS用ファイアーウォールアプリLittle Snitchの非正規インストーラーが発見されて、そのインストーラーを解析したところ、悪意のある攻撃者がWindowsの実行ファイル(.exe)を利用して、macOSのGatekeeperをバイパスする仕組みを取り入れていることが確認されたそうです。

By default, attempting to run an EXE file on a Mac or Linux OS will only show an error notification.

However, we found EXE files in the wild delivering a malicious payload that overrides Mac’s built-in protection mechanisms such as Gatekeeper. This routine evades Gatekeeper because EXE is not checked by this software, bypassing the code signature check and verification since the technology only checks native Mac files.

Windows App Runs on Mac, Downloads Info Stealer and Adware – TrendLabs Security Intelligence Blog

スポンサーリンク

Windows App Runs on Mac

 通常、Windowsの実行ファイルはmacOSやLinux上では実行できないため、macOSのGatekeeperはこのファイルのコード署名チェックなどを行いませんが、Trend Microのチームが発見したLittle Snitchのインストーラー(DMG内)に存在した”Installer.exe”にはMono(.NET)フレームワークが利用され、Gatekeeperをバイパスして悪意のあるペイロードを実行する手法が取り入れらていたそうで、

Windows App Runs on Mac, Downloads Info Stealer and Adware

Currently, running EXE on other platforms may have a bigger impact on non-Windows systems such as MacOS. Normally, a mono framework installed in the system is required to compile or load executables and libraries. In this case, however, the bundling of the files with the said framework becomes a workaround to bypass the systems given EXE is not a recognized binary executable by MacOS’ security features.

Windows App Runs on Mac, Downloads Info Stealer and Adware – TrendLabs Security Intelligence Blog

これが実行されると、バンドルされていたメインファイルも実行され、Macのモデルやシリアル番号、UUID、アプリケーションフォルダ内にあるアプリの情報などをC&Cサーバーへ送る「Stealer」とPUAやAdwareなどをインストールする「Installer」としての役割を果たすそうです。

When the installer is executed, the main file also launched the executable as it is enabled by the mono framework included in the bundle. This framework allows the execution of Microsoft .NET applications across platforms such as OSX.

Windows App Runs on Mac, Downloads Info Stealer and Adware – TrendLabs Security Intelligence Blog

 AppleはmacOS 10.12 Sierraで導入したGatekeepr Path Randomizationという機能で、メインファイルと共に悪意のあるスクリプトなどのリソースを同梱し、アプリからこれらを実行することでGatekeeperをバイパスする攻撃手法を無効化しましたが、今回の攻撃手法は.exeファイルを利用した逆の方法でGatekeeperをバイパスしているようです。

 また、同じTorrentサイトではLittle Snitch以外にもMacでNTFSフォーマットのストレージを読み書き可能にするNTFS for Macと思われるアーカイブも確認されており、既に多くのセキュリティアプリがこれらの検出に対応し始めているので、Appleも何らかセキュリティ機能をアップデートすると思われます。

Windows App Runs on Mac

Windowsの実行ファイルを含んだmacOSアプリ

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
  • TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
  • Little_Snitch_583_MAC_OS_X.zip

コメント

  1. 匿名 より:

    Linuxでも通用するなこの攻撃

  2. 匿名 より:

    なんでそんな有能な奴がトレンドマイクロに在籍し続けてるんだよw
    お前が作ったんか

  3. 匿名 より:

    今回、珍しく、カスペルスキーの
    検体対応が遅いな。

  4. 匿名 より:

    連投すまぬ。

    アンチウィルスソフトでは、
    性質上、後手後手に成らざる得ない。

    普段から、
    アウトバウンドのFWAを使用して、
    自分のマシンの挙動を把握していれば、
    十分に防げるはず。
    ただ、マシンデータ流出は防げても、
    既にマシンに感染しているわけだから、
    普段から、フルバックアップも必要。