De nouveaux chevaux de Troie ont été découverts, Réactions à la publication du 30/09/2013

[Lionel]

Des chercheurs en sécurité ont découvert une nouvelle vague d'attaque par Chevaux de Troie visant aussi bien les utilisateurs de Windows que d'OS X.






Sous OS X 3 applications ressemblant à des produits commerciaux ont été découvertes. Lors de leur premier lancement elle font les choses suivantes:

• Elles installent dans le dossier utilisateur une application invisible "Launchd.app",
  
• elles inhibent l'affichage de cet exécutable dans le dock et dans la bascule logiciel,
  
• elles nettoient le code de l'application originelle afin d'être moins détectables.

Ensuite, cet exécutable launchd.app va se connecter au réseau et attendre des ordres sachant qu'il contient un système capable de capturer et de transmettre toutes les frappes clavier. Le code est 64 bits et n'est fonctionnel que sous OS X 10.7 et 10.8.
Cette attaque n'est pas nouvelle, ce sont les vecteurs qui le sont et qui ont permis de recycler des systèmes d'attaque antérieurs.
Lien vers le billet original

[ericb2]

Je n'aurai jamais plus récent que 10.6, mais en regardant, je viens de voir qu'il y a un binaire appelé launchd ( l minuscule ) dans /sbin, est-ce une coïncidence ? En plus il a le process id numéro 1 (c'est le noyau, ou plutôt l'équivalent de init sous Linux ?)

En fait, je crois que je l'ai toujours vu celui-là (par exemple, en regardant avec lsof)

Ce message a été modifié par ericb2 - 30 Sep 2013, 06:38.

[Lionel]

Oui, launchd existe tu dois même en avoir deux dans ton moniteur d'activité.

[Zekje]

sans tomber dans l parano, comment peut t o detecter si on est infecté ou pas ?

il est notté une appli invisible

est ce qu un ls -la dans le dossier utilisateur suffit pour le denicher ?
d ailleurs dans le dossier user ? ou dans user/app ?

[apple noxe]

J'ai 6 processus dans le moniteur d'activité "lanchd", un qui appartient à ma session, un à "root", un a "_windowserve", un à "_spotlight", un à "_softwareupdate", et un à "nobody".

J'ai bien l'impression d'être infecté... Comment est-ce qu'on peut en être sur, et comment corriger ca ?

Ah oui, et je suis en 10.8.5

[Akirami]

Je ne sais pas si ESET Rootkit Detector prend en charge ce malware particulier mais si vos voulez vous en assurer : http://www.eset.com/fr/download/utilities/

[roland-tanguy]

Si en plus les icônes sont jolies, ça va être dur dur de faire le tri entre les "vraies" et les "fausses" ;o)

[reversi]

J'ai 6 processus dans le moniteur d'activité "lanchd", un qui appartient à ma session, un à "root", un a "_windowserve", un à "_spotlight", un à "_softwareupdate", et un à "nobody".

J'ai bien l'impression d'être infecté... Comment est-ce qu'on peut en être sur, et comment corriger ca ?

Ah oui, et je suis en 10.8.5

Stop la Parano.

Tous les process de l'OS (ou presque) sont lancés par launchd. C'est normal d'avoir du launchd de partout dans la liste des processus. Et il est normal que ses processus soient attachés à des comptes _windowserve® _spotlight ou _softwareupdate ou nobody. C'est par mesure de sécurité, pour ne pas lancer les process en root.

Il suffit de classer les processus hiérarchiquement pour voir quels sont les process qui ont été lancés par ces instances de launchd.

[macgreg2005]

bonjour.
Est ce que quelqu'un peut me dire a quoi correspond ces valeurs nommées SHA1 dans les captures de l'article s'il vous plait?
si on rend le fichiers visibles grace à Onyx par exemple et que l'on supprime "LauncHD.app" normalement invisible, Est ce que cela suffirait à se debarrasser du cheval de Troie?

[reversi]

bonjour.
Est ce que quelqu'un peut me dire a quoi correspond ces valeurs nommées SHA1 dans les captures de l'article s'il vous plait?

Probablement la signature SHA1 de l'archive zip obtenue quand on fait:

openssl sha1 monbeaufichieramoiquejaietquetuaspeutetremaislemienilestplusmieuxdabord.txt

si on rend le fichiers visibles grace à Onyx par exemple et que l'on supprime "LauncHD.app" normalement invisible, Est ce que cela suffirait à se debarrasser du cheval de Troie?

Si tu n'as pas installé récemment une de ces applications, tu n'as aucune chance d'avoir été infecté à la base.

Sinon, non, cela ne devrait a priori pas tout virer car il doit bien y avoir un mécanisme (Login Items ou agents launchd) qui a été utilisé pour lancer automatiquement l'application par la suite. Donc regarder aussi dans:

Préférences Systèmes > Comptes Utilisateurs > Moi > Login Items

et dans

/Users/Moi/Library/LaunchAgents/

pour voir s'il n'y a pas un intrus.

Ce message a été modifié par reversi - 30 Sep 2013, 09:41.

[divoli]

Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à contourner le niveau de sécurité du réglage par défaut de GateKeeper ?

Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ?


Edit: grammaire.

Ce message a été modifié par divoli - 30 Sep 2013, 10:21.

[Le Fée Vert]

Sous OS X 3 applications ressemblant à des produits commerciaux ont été découvertes.

Ce sont des produits qui viennent depuis les plateforme des développeurs de ces applications ou des version crackées de ces applications?

Par le passé, j'avais installé (et supprimé) CleanMyMac depuis le site de l'éditeur. Je risque quelque chose?

[reversi]

Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ?

Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ?

Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide.

Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien.

[noenoeil]

Il y a 3 jours j'ai téléchargé et lancé Img2icns.app, gatekeeper off, 10.8.5.
Clamxav ne détecte rien. Eset Rootkit Detector non plus.
Pas de "apple.launchd.plist" dans ~/Library/LaunchAgents
Img2icns.zip SHA1 : 70456fd028343d545207f139ef1873da658d6db1

Jusqu'ici tout va bien.

N.

[r@net54]

Sous OS X 3 applications ressemblant à des produits commerciaux ont été découvertes.

Ce sont des produits qui viennent depuis les plateforme des développeurs de ces applications ou des version crackées de ces applications?

Par le passé, j'avais installé (et supprimé) CleanMyMac depuis le site de l'éditeur. Je risque quelque chose?

Apparemment ca vient des softs récupérés sur des sites douteux, puisque le code n'est pas signe!

Allez pour le détecter, faut charger VirusBarrier (le (re)lanceur de l'alerte a l'origine de cet article) ou ClamXav ou n'importe quel antivirus, la signature étant publiée les bases de données devraient être a jour.

Sinon le bestiaux n'est pas nouveau, c'est un bête troyen dont la base a ete repérer depuis 2011 par Kapersky.

http://www.thesafemac.com/new-mac-malware-discovered-icefog/

Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ?

Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ?

Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide.

Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien.

Gatekeeper n'a pas été contourne, c'est l'habilitation de la signature qui a été detourne. Il s'agissait d'un faux "vrai certificat", prouvant que vérifier l'identité de quelqu'un avec une CB est inefficace. Donc c'est la procédure de certification qui contenait une faille, pas le logiciel.

On peut installer n'importe quoi sur son Mac du moment que l'on a activé l'option permettant d'installer n'importe quoi sur son Mac... Mais bon si on a fait ça c'est que l'on sait ce que l'on fait, non?

[joubex]

Je me demande deux choses:
Est ce que l'appli initiale fonctionne encore?
Est ce que Little Snitch va voir la tentative de connexion?

[reversi]

Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ?

Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ?

Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide.

Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien.

Gatekeeper n'a pas été contourne, c'est l'habilitation de la signature qui a été detourne. Il s'agissait d'un faux "vrai certificat", prouvant que vérifier l'identité de quelqu'un avec une CB est inefficace. Donc c'est la procédure de certification qui contenait une faille, pas le logiciel.

C'est un argument technique dont l'utilisateur final se tape. C'est comme quand tu te fais écraser par un bus et que tu étais dans ton droit au passage piéton. Ça te fait une belle jambe de savoir depuis l'au-delà que c'était le bus qui était en tort et pas toi.

On peut installer n'importe quoi sur son Mac du moment que l'on a activé l'option permettant d'installer n'importe quoi sur son Mac... Mais bon si on a fait ça c'est que l'on sait ce que l'on fait, non?

On peut installer (pour le moment) ce que l'on veut sur son Mac du moment que l'on ne récupère pas l'installateur ou l'archive par téléchargement. Et encore un téléchargement fait via un logiciel qui aide GateKeeper en plaçant le flag de quarantaine, un téléchargement avec wget ne déclenchera pas Gatekeeper à ma connaissance.

Sinon ce serait assez chiant lorsque l'on crée une application avec Xcode sans la signer qu'on ne puisse pas la lancer sur son propre Mac.

[divoli]

Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ?

Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ?

Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide.

Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien.

Merci pour ta réponse. Etant toujours sur 10.6, je n'avais pas réalisé cela. Cela veut dire que le processus de vérification se fait au niveau du téléchargement, et non pas de l'installation en elle-même (ce qui me semblerait plus logique), je trouve que c'est tout de même un peu couillon.

[reversi]

Il y a quand même une question que je me pose. Sous OS X 10.8, seuls ceux qui ont abaissé le niveau de sécurité de GateKeeper peuvent se faire infecter, ou bien ces malware arrivent-ils désormais à détourner le niveau de sécurité du réglage par défaut de GateKeeper ?

Y-a-t'il déjà eu des cas où le filtre d'Apple (dans le cas du réglage par défaut de GateKeeper) a été mis à mal ?

Oui. Il y a eu au moins un malware qui avait un certificat Gatekeeper valide. Il suffit de créer un "faux" compte dévéloppeur Apple avec une carte de crédit "volée" pour obtenir un certificat valide.

Ensuite Gatekeeper ne fonctionne qu'avec les fichiers téléchargés sur un Mac. Si tu as téléchargé ton image disque sur un PC puis que tu l'as transféré sur ton Mac (par SMB ou par clé USB), Gatekeeper ne verra rien.

Merci pour ta réponse. Etant toujours sur 10.6, je n'avais pas réalisé cela. Cela veut dire que le processus de vérification se fait au niveau du téléchargement, et non pas de l'installation en elle-même (ce qui me semblerait plus logique), je trouve que c'est tout de même un peu couillon.

Alors, c'est un peu plus compliqué que cela. Lors du téléchargement, le fichier est taggé. Lors de l'ouverture du fichier, le "Finder" repère que le fichier est taggé et présente alors l'alerte qui avertit que le fichier a été téléchargé (et vérifie en passant la signature si besoin). Si c'est un zip ou une image disque, il s'est débrouillé pour tagger le fichier dézippé ou propager "virtuellement" le tag sur les fichiers de l'image disque montée.