Mac - ponad 600 tysięcy zainfekowanych maszyn
#1
Na wielu portalach informacyjnych i IT w ciągu ostatnich dni pojawiła się informacja o potężnej infekcji trojanem/botnetem Flashbackna systemach OS X Mac, którą wstępnie oszacowano na ok.pół miliona zarażonych maszyn...takie doniesienia ogłosił analityk firmy Dr. Web Ivan Sorokin na Twitterze.Niedawno następna firma - Kaspersky Lab - dorzuciła swoje "trzy grosze" informując, że wg jej danych infekcja dotyczy już ponad 600 tysięcy komputerówi nie są to dane szacunkowe, ale konkretne i unikalne adresy którymi dysponuje. Kaspersky wykrywa to zagrożenie jako Trojan-Downloader.OSX.Flashfake.ab. , inne nazwy to Exploit:Java/Flashback.I, Trojan-Downloader:OSX/Flashback.I, Trojan:OSX/Flashback.I, Backdoor:OSX/Flashback.I .
Flashback nie jest czymś całkiem nowym...jego poprzednia wersja bazowała na fałszywym pliku instalacyjnym wtyczki Adobe Flash Playera, ale jego obecna odmiana bazuje tym razem na fałszywym aplecie Javy na zainfekowanej stronie, a potem dopiero na pseudo aktualizacji Adobe Flahs Player
Cytat: It is being distributed via infected websites as a Java applet that pretends to be an update for the Adobe Flash Player. The Java applet then executes the first stage downloader that subsequently downloads and installs the main component of the Trojan. The main component is a Trojan-Downloader that continuously connects to one of its command-and-control (C&C) servers and waits for new components to download and execute.
(...)
We reverse engineered the first domain generation algorithm and used the current date, 06.04.2012, to generate and register a domain name, "krymbrjasnof.com". After domain registration, we were able to log requests from the bots. Since every request from the bot contains its unique hardware UUID, we were able to calculate the number of active bots. Our logs indicate that a total of 600 000+ unique botsconnected to our server in less than 24 hours. They used a total of 620 000+ external IP addresses.More than 50% of the bots connected from the United States.

[Aby zobaczyć linki, zarejestruj się tutaj]

Geographical distribution of active Flashfake bots

[Aby zobaczyć linki, zarejestruj się tutaj]

We cannot confirm nor deny that all of the bots that connected to our server were running Mac OS X. The bots can be only identified by a unique variable in their User-Agent HTTP header named “id”, the rest of the User-Agent is statically controlled by the Trojan. See example below:

"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A) Gecko/20100101 Firefox/9.0.1"

We have used passive OS fingerprinting techniques to get a rough estimation. More than 98% of incoming network packets were most likely sent from Mac OS X hosts. Although this technique is based on heuristics and can’t be completely trusted, it can be used for making order-of-magnitude estimates. So, it is very likely that most of the machines running the Flashfake bot are Macs.
Approximate distribution of OSes used to connect to our server

[Aby zobaczyć linki, zarejestruj się tutaj]


Źródło cytatu

[Aby zobaczyć linki, zarejestruj się tutaj]


Aple opublikowało już odpowiednia łatki, które można znaleźć

[Aby zobaczyć linki, zarejestruj się tutaj]

Natomiast F-secure stworzyło

[Aby zobaczyć linki, zarejestruj się tutaj]

wykrywania i usuwania malware
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Platforma coraz popularniejsza to i coraz więcej zagrożeń się na nią pojawia. Jak tak dalej pójdzie, to za kilka lat na Mac OS X będzie tyle samo robactwa co na Windowsa.
...
Odpowiedz
#3
no za 50 lat bym obstawiał
wirus, o którym mowa instaluje się tylko wtedy, kiedy nieświadomy użytkownik wejdzie na spreparowaną stronę i wpisze hasło systemowe w okienku imitującym software update. BEZ HASŁA WIRUS NIC NIE ZROBI.
WIN11
Ventura
Odpowiedz
#4
Identycznie jak w Linuksie - bez hasła roota nic nie zrobisz. Nie wiedziałem, że w Mac OS X też tak jest.
...
Odpowiedz
#5
To tylko Windowsy takie głupie są że po instalacji masz admina i hulaj dusza piekła nie ma.
Odpowiedz
#6
Cytat: Flashback nie jest czymś całkiem nowym...jego poprzednia wersja bazowała na fałszywym pliku instalacyjnym wtyczki Adobe Flash Playera


Instalujemy Flasha z oficjalnej strony i " brak wtyczki " ignorujemy. Myślałem że użytkownicy Maca są bardziej zaawansowani:crazy:
Odpowiedz
#7
jak to w życiu część użytkowników jest świadomych, a część ma tę świadomość w dupie
WIN11
Ventura
Odpowiedz
#8
Eugeniusz napisał(a):To tylko Windowsy takie głupie są że po instalacji masz admina i hulaj dusza piekła nie ma.


Chyba z linuksa się urwałeśGrin
Odpowiedz
#9
Eugeniusz napisał(a):To tylko Windowsy takie głupie są że po instalacji masz admina i hulaj dusza piekła nie ma.

No chyba nie do końca - standardowo konto administratora jest wyłączone (W7) i mamy jeszcze UAC, więc...?
Odpowiedz
#10
ktostam napisał(a):
Eugeniusz napisał(a):To tylko Windowsy takie głupie są że po instalacji masz admina i hulaj dusza piekła nie ma.

No chyba nie do końca - standardowo konto administratora jest wyłączone (W7) i mamy jeszcze UAC, więc...?

Tylko, że to rozwiązanie zostało wprowadzone dopiero od Visty.
Od samego początku w Windowsach było konto admina od razu po instalacji systemu i na nim ludzie pracowali. Microsoft przez lata nie wprowadzał żadnych zabezpieczeń i tak ludzi rozleniwił, że większość wyłącza UAC, bo im przeszkadza. A na koncie standardowym nie pracują, bo to takie nie wygodne Wall
...
Odpowiedz
#11
preter_m napisał(a):A na koncie standardowym nie pracują, bo to takie nie wygodne

Czasami bardzo niewygodne, ale ja tam swoją rodzinkę przyzwyczajam, ba nawet do SS Premium się przyzwyczaili. Najgorsze są aktualizacje oprogramowania, które wymagają hasła admina.
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Odpowiedz
#12
To masz szczęście, że twoja rodzinka jest bardziej świadoma zagrożeń i chce jakoś się dokształcić w zakresie ochrony przed nimi.
W moim domu wszyscy są totalnie zieloni i nie obchodzą ich żadne zabezpieczenia poza antywirusem, bo tylko przeszkadzają.
...
Odpowiedz
#13
Nie cytowałem, ale czytałem również informacje, że jest to chyba największa infekcja na Mac...nawet Mac Defender ze swoją ilością odmian w zeszłym roku nie był tak groźny i powszechny...więcej nawet padły i takie określenia, że 1 na 100 komputerów z systemem OX S jest zarażony czyli wychodzi tak 1% wszystkich maszyn na świecie - dla porównania największa infekcja na Windowsy to chyba było szacunkowo "zaledwie" 0,7%.
Dlaczego ten trojan jest jeszcze tak groźny...parę cytatów tylko o nim i ogólnie o samym systemie Mac i polityce Aple
Cytat: Flashback was initially discovered in September 2011 masquerading as a fake Adobe Flash Player installer. A month later, a variant that disables Mac OS X antivirus signatures updates was spotted in the wild.

In the past few months, Flashback has evolved to exploiting Java vulnerabilities. This means it doesn’t require any user interventionif Java has not been patched on your Mac: all you have to do is visit a malicious website, and the malware will be automatically downloaded and installed.

Another variant spotted last month asks for administrative privileges, but it does not require them. If you give it permission, it will install itself into the Applications folder where it will silently hook itself into Firefox and Safari, and launch whenever you open one of the two browsers. If you don’t give it permission, it will install itself to the user accounts folder,where it can run in a more global manner, launching itself whenever any application is launched, but where it can also more easily detected.

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat: Macs are not immune. For years Apple owners have been told that Macs don’t get viruses, but we know that’s not true. And Apple’s casual approach to security updates makes them arguably more vulnerable to this sort of attack than other platforms. Like all operating systems, OS X has its share of vulnerabilities that can be exploited. In that May 2011 post, I looked at a single OS X update, which repaired 23 separate vulnerabilities:

Every one of the vulnerabilities in the April update had existed in OS X for a minimum of 18 months before being patched. Every entry on that list was capable of executing hostile code on an unpatched system with little or no user interaction. If an attacker develops a successful exploit of one of those vulnerabilities, your system can be compromised, silently and with deadly effect, if you simply download a document, view a movie or image, or visit a website.

That’s an awfully big window of opportunity. And that pattern is found in other OS X updates.

Third-party software is an ideal vector. The current exploit is triggered by a known flaw in Java, which was installed on every copy of OS X until the release of Lion (OS X 10.7) last summer. The flaw was reported in January and patched by Oracle in February, but the Apple version of Java didn’t get a patch until early April. So for several months, every Mac owner was vulnerable unless they took specific steps to remove or disable Java.

Security expert Brian Krebs points out that this behavior by Apple is sadly typical:

Apple maintains its own version of Java, and as with this release, it has typically fallen unacceptably far behind Oracle in patching critical flaws in this heavily-targeted and cross-platform application. In 2009, I examined Apple’s patch delays on Java and found that the company patched Java flaws on average about six months after official releases were made available by then-Java maintainer Sun. The current custodian of Java – Oracle Corp. – first issued an update to plug this flaw and others back on Feb. 17. I suppose Apple’s performance on this front has improved, but its lackadaisical (and often plain puzzling) response to patching dangerous security holes perpetuates the harmful myth that Mac users don’t need to be concerned about malware attacks.

Similar recent attacks have successfully targeted vulnerabilities in Word on Macs. And there’s no reason not to expect attacks against other vulnerabilities in other popular third-party products like Adobe Reader and Skype.

Older Macs are especially vulnerable. According to the latest Net Market Share data, 17% of Macs worldwide are running Leopard (OS X 10.5) and Tiger (OS X 10.4), older versions of OS X that are no longer officially supported. The Java update that blocks this exploit is available for Leopard, but at least one Leopard user I spoke with says it hasn’t been offered to his Mac via Apple Software Update. The last Java update offered to users of these older Mac versions was in June 2011.

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat: What exactly is Flashback?
Flashback is a form of malware designed to grab passwords and other information from users through their Web browser and other applications such as Skype. A user typically mistakes it for a legitimate browser plug-in while visiting a malicious Web site. At that point, the software installs code designed to gather personal information and send it back to remote servers. In its most recent incarnations, the software can install itself without user interaction.
(...)
How did it infect so many computers?
The simple answer is that the software was designed to do exactly that. In its initial incarnation, the malware looked very similar to Adobe''s Flash installer. It didn''t help that Apple hasn''t shipped Flash on its computers for well over a year, arguably creating a pool of users more likely to run the installer in order to view popular Web sites that run on Flash. In its newer Java-related variants, the software could install itself without the user having to click on anything or provide it with a password.
(...)
What has Apple done about it?
Apple has its own malware scanner built into OS X called XProtect. Since Flashback''s launch, the security tool has been updated -- two times now -- to identify and protect against a handful of Flashback variants.

A more recent version of the malware, however, got around XProtect by executing its files through Java. Apple closed off the malware''s main entry point with a Java update on April 3.

Of note, the Java security fixes are only available on Mac OS X 10.6.8 and later, so if you''re running OS X 10.5 or earlier, you will still be vulnerable. Apple has stopped supplying software updates for these operating systems.

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat: Here''s how Apple''s silence on security contributes to the problem:

Apple doesn''t allow Oracle to patch Java. The latest round of malware could have been avoided with faster patching. Since Apple likes to control its patching it is often behind. The window of exposure on the Mac platform is longer. The easy fix here is to let Oracle do the patching.

Apple has a rudimentary antivirus update utility that''s updated with signatures only when there''s a big enough threat. Apple knew about Flashback, which has been pointed out by security researchers, but didn''t ship an update.

Apple users have no idea if they are infected and don''t know how to search. Why would they know? Apple has told them there are no viruses on the Mac. This false sense of security is the primary reason Apple needs to start talking. Apple users are smug about security.

Anti-virus vendors can''t provide protection to the Mac because users don''t think they are needed.

Security industry insiders have known the Mac platform has its holes, but Flashback is the first in-the-wild issue that''s confirmed and big. More will follow unless Apple becomes more proactive.

[Aby zobaczyć linki, zarejestruj się tutaj]

Na koniec dla tych, którzy nie wiedzą, że Mac nigdy właściwie nie był do końca bezpieczny

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#14
wszystko się zgadza, ale tak jak już wcześniej napisałem, że jedynym sposobem zainstalowania malware w osx jest wpisanie samemu hasła systemu jak malware o to poprosi.
trzeba myśleć co się klika
WIN11
Ventura
Odpowiedz
#15
polak900 napisał(a):wszystko się zgadza, ale tak jak już wcześniej napisałem, że jedynym sposobem zainstalowania malware w osx jest wpisanie samemu hasła systemu jak malware o to poprosi.
trzeba myśleć co się klika


Cytat: "...In its newer Java-related variants, the software could install itself without the user having to click on anything or provide it with a password..."


Nie jestem asem z angielskiego ale powyższe zdanie chyba mówi coś innego?
w10 - OSArmor + Simplewall
Odpowiedz
#16
miałem tego wira wczoraj znajomy podesłał mi linka
ci co nie mają javy mogą spać spokojnie
ci co ją mają wyświetla się okienko ala SU z osx z wymogiem wpisania hasła
kliknąłem oczywiście na i uruchomiłem stronę która sprawdza czy mam zainfekowany sprzęt
stronka firmy antywirusowej f-secure
jest tam parę komend które wpisuje się w terminalu w celu sprawdzenia systemu
u mnie nie było żadnej infekcji więc hasło jak najbardziej wymagane
WIN11
Ventura
Odpowiedz
#17
Nie wiem...nie znam się na Macu, ale nie wydaje mi się, że ten nowy Flashback jest tak "prosty w obsłudze"...według opisów jego działania ten trojan nie wymaga uprawnień, choć może o nie zapytać. Z tego, co czytałem nie jest to jeden tylko trojan - ma kilka odmian i nieco odmienne zachowanie w związku z tym. Intego tak pisze na swoim blogu (podkreślenia moje)
Cytat: This new variant of the Flashback Trojan horse uses three methods to infect Macs . The malware first tries to install itself using one of two Java vulnerabilities. If this is successful, users will be infected with no intervention . If these vulnerabilities are not available – if the Macs have Java up to date – then it attempts a third method of installation, trying to fool users through a social engineering trick. The applet displays a self-signed certificate, claiming to be issued by Apple . Most users won’t understand what this means, and click on Continueto allow the installation to continue .
(...)
It is important to note that this version of the FlashbackTrojan horse does not present an installer, as previous versions did . If a user visits a web page, and their Java is not up to date, the installation will occur without their intervention . If their Java is up to date, they will only see the certificate alert that we show above: they will never be asked for a password, and won’t have to launch any other software to allow the installation to take place.

[Aby zobaczyć linki, zarejestruj się tutaj]

Natomiast na Cnet jest nowy artykuł na ten temat w kontekście mechanizmu infekcji
Cytat:
First step: Exploiting Java
When you encounter the malicious Web page containing the malware and have an unpatched version of Java running on your system, it will first execute a small Java applet that when run will break the Java security and write a small installer program to the user''s account . The program is named something like .jupdate, .mkeeper, .flserv, .null or .rserv, and the period in front of it makes it appear hidden in the default Finder view.

In addition, the Java applet will write a launcher filenamed something like "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" or even "null.plist" to the current user''s ~/Library/LaunchAgents/ folder, which will continually launch the .jupdate programwhenever the user is logged in .

In order to avoid detection, the installer will first look for the presence of some antivirus tools and other utilities that might be present on a power user''s system(...)

Second step: Downloading the payload
When the jupdate program executes, it will connect to a remote server and download a payload program that is the malware itself , and which consists of two components. The first is the main part of the malware that performs the capture and upload of personal information, and the second is a filter component that is used to prevent the malware from running unless specific programs like Web browsers are being used.

Third step: Infection
Once the malware and the filter are downloaded, the malware is run to infect the system. This is where users will see an alert about a software update and will be prompted to supply their passwords. Unfortunately at this point there is nothing to stop the infection, and whether or not a password is supplied only changes the mode of infection .

The first modeof infection is if a password is supplied, in which case the malware alters the Info.plist files in Safari and Firefox to run the malware whenever these programs are opened. This is the malware''s preferred mode of infection, but if a password is not supplied, then the malware resorts to its second mode of infection , where it alters the "environment.plist" file.

By using the environment.plist file, the malware will run whenever any application is opened, and this will lead to crashes and other odd behavior that might cause alarm to the user, so the malware then uses its filter component to only run when certain applications are launched, such as Safari, Firefox, Skype, and even Office installations.

Either way, once downloaded the malware will infect the system using one of these approaches and will run whenever target applications like Web browsers are used. In more recent variants of the malware, when installed using the "environment.plist" file it will further check the system to ensure complete installations of programs such as Office or Skype are present, and potentially delete itself if these programs are not fully or properly installed. F-Secure speculates this is an attempt to prevent early detection of the malware.

Całość artykułu

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#18
Ale podobno 04.04 Apple wypuściło aktualizację środowiska Java, która eliminuje lukę pozwalającą na infekcję:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#19
w sumie było już dwie poprawki javy
społezność macowska już ma antidotum na tę infekcję
np applescript sprawdzający z tej strony:

[Aby zobaczyć linki, zarejestruj się tutaj]

lub to narzędzie:

[Aby zobaczyć linki, zarejestruj się tutaj]


moje macbooki czysteSmile
WIN11
Ventura
Odpowiedz
#20
Owszem...są poprawki, ale do nowych wersji systemu. Apple właściwie zostawiło na lodzie parę milionów ludzi nie dając im nic w obecnej sytuacji. Około 17% użytkowników używa starszych wersji systemu - Leopard (OS X 10.5) i Tiger (OS X 10.4) - do których to systemów ostatnie aktualizacje były w połowie ubiegłego roku i nie przewiduje się, by coś się zmieniło. Oznacza to, że te 17%...czyli jakieś 10 milinów użytkowników ...może co najwyżej zmienić system na nowszy...albo zupełnie inny...wydając kolejne pieniądze. Jeśli jedyną możliwą aktualizacją jest zakup nowego systemu, to ja raczej dziękuję za taki system zanim go kupię. No i oczywiście pogratulować takiej polityki producenta.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości