2010年11月8日 星期一

以 Mac 為攻擊目標的木馬程式 -- trojan.osx.boonana.a

前一陣子有篇新聞指出,有一隻新的木馬程式瞄準 Mac OSX 而來,在幾個知名的科技論壇與防毒軟體的網站上被大幅報導。我對它的症狀不感興趣,反正木馬程式幹的事情就是那一些,重點是怎麼樣才會受感染 ?

我看了幾篇報導,其中包含 SecureMac 的專文,我看了之後覺得不太需要擔心。原因在於感染的方式,我大致上說一下它是怎麼作用的 :

1. 在一些社交網站上點了某個吸引人的連結之後,會跳出要裝 JAVA Applet 的警示 :


詢問視窗顯示這個數位簽名沒有被認證過,這沒什麼,因為大部分的 JAVA Applet 都沒有通過認證,比如說 ZTerm Applet 也是一樣。按了允許之後就會以當前這個使用者的權限,在家目錄下開一個隱藏資料夾,並把木馬程式放進去。不過,如果是這樣,重開機後就沒作用了,所以好戲在後頭 ..... (這之間會跳出一個假的 Youtube 影片,不過這不是重點就不提了)

2. 連結外部網站下載一個安裝程式 (installer),要求安裝 :


所謂的 "安裝程式" 就是一般在執行 pkg 程式包時會看到的東西,一般都會要求輸入管理者帳號密碼 (因為要放東西在系統資料夾阿,不然直接包成 bundle 就好了) 以暫時取得 root 權限,而這樣一來就讓這隻木馬程式把一些東西放在系統的角落,使其可以開機啟動,即使被關掉也可以利用 launchd 的幫助使其自動重啟。這還不夠,它甚至丟出一個假的 sudoers 檔案,使所有的程序都可以自由地執行,而不經過 root 的管轄,簡單的說就是讓你的電腦門戶大開。

(Ref. pictures come from SecureMac)
==========================

聽起來好像很恐怖,可是我們不彷回頭想想,這要重招也太難了吧 !!!! 頂多一開始允許了 JAVA Applet 的驗證,之後跳出一個需要輸入密碼的安裝程式,怎麼想都不對,因為執行 JAVA Applet 根本不需要 root 權限去安裝東西。此處如果沒有同意,由於該木馬會一直連接外部網站去下載安裝程式,所以這個安裝視窗會一直跳出來,使用者被煩個幾次就會不爽,開始上網搜尋這玩意是啥鬼或是重開機看看,而使得這鬼東西很快地就失去作用,或是被抓出來殺掉。所以這個木馬是用來騙完全不知道自己在幹嘛的使用者,對有點資安常識的人沒什麼用 (不過電腦白癡很多,這樣一說好像還真的很危險 orz)。

Mac OSX 底層是 BSD 核心,事實上已經有 UNIX 這個超級安全的核心架構,病毒無法作用,要用木馬來 "騙" (Rootkit 應該也算 ....),中招大多是自己造成的,誰叫你閒閒沒事輸入管理者帳號密碼 ? 老話一句,除了充實資安觀念,使用者自己的習慣最重要 !!

題外話,其實從 Mac OSX 10.3 的安全性更新 2004-06-07 之後,當任何從網路下載的程式第一次執行時都會跳出以下的視窗 :


相信很多人都看過吧 ? 有沒有覺得很煩 ? 其實這就是安全措施,如果這時候跳出的是一個你沒見過的程式名字 ............. 嗯嗯,我想不用我說下去了吧。事實上 Mac OSX 不僅簡單易用,在安全性上也不遜於其他作業系統阿 ~

沒有留言:

張貼留言