| 4 сен 2018 — 3:56 pm PT
Исследователь безопасности Патрик Уордл представил подробный анализ того, как пользователи macOS могут быть удаленно атакованы с использованием обработчиков документов и пользовательских URL-схем – именно это стоит за всплывающим окном «Вы хотите разрешить» на скриншоте выше.
Уордл объясняет, как вредоносная APT-группа злоупотребляет URL-схемами для удаленного заражения целей на macOS.
В macOS приложения могут «рекламировать», что они поддерживают (или «обрабатывают») различные типы документов и/или пользовательские URL-схемы. Представьте, что приложение говорит: «Эй, если пользователь попытается открыть документ типа foo или URL-адрес со схемой bar, я его обработаю!»
Вы наверняка сталкивались с этим в macOS. Например, когда вы дважды щелкаете документ .pdf, запускается Preview.app для обработки документа. Или в браузере вы нажимаете на ссылку, ведущую к приложению из Mac App Store, запускается App Store.app для обработки этого запроса.
Уордл глубже погружается в то, как эти схемы настраиваются с точки зрения разработчика, а затем анализирует, как пользовательские URL-схемы могут быть использованы для удаленной атаки на пользователей Mac.
Все начинается с того, что пользователь посещает вредоносный веб-сайт, с которого автоматически загружается файл .zip, поскольку Apple разрешает автоматическую загрузку и распаковку «безопасных» файлов. Этот zip-архив содержит вредоносное приложение. После этого регистрируется пользовательская URL-схема:
Как только цель посещает наш вредоносный веб-сайт, мы запускаем загрузку архива (.zip), содержащего наше вредоносное приложение. Если пользователь Mac использует Safari, архив будет автоматически распакован, поскольку Apple считает разумным автоматически открывать «безопасные» файлы. Это крайне важно, поскольку означает, что вредоносное приложение (а не просто сжатый zip-архив) теперь окажется в файловой системе пользователя, что вызовет регистрацию любых обработчиков пользовательских URL-схем! Спасибо, Apple!
В этот момент Safari предложит пользователям разрешить веб-странице открыть приложение, отвечающее за обработку этой URL-схемы. В данном случае это вредоносное приложение, которое только что было загружено. Хотя Safari предлагает пользователю «Разрешить» или «Отменить», текст запроса контролируется злоумышленником, что означает, что он может быть легко обманчивым.
За кулисами macOS будет искать обработчик для этой пользовательской URL-схемы – которым, конечно же, является наше вредоносное приложение (которое только что было загружено). Как только этот поиск завершен, ОС любезно попытается запустить вредоносное приложение для обработки запроса по URL!
Однако символы между кавычками контролируются злоумышленником, поскольку они являются именем приложения. Таким образом, мы можем легко сделать этот всплывающий запрос довольно обыденным, неприметным или даже забавным.
File Quarantine также запросит у пользователя подтверждение, но опять же, имя приложения контролируется разработчиком.
Очевидным вопросом здесь является, почему GateKeeper вообще разрешил загрузку. Уордл объясняет, что GateKeeper разрешает подписанные приложения, а в наши дни большинство вредоносных программ для macOS подписаны.
В своей конфигурации по умолчанию Gatekeeper разрешает подписанные приложения. Вредоносное ПО, используемое APT-группой WINDSHIFT, было подписано (как и большинство вредоносных программ для Mac в наши дни). Поэтому Gatekeeper даже не вступает в игру!
Хотя это не обязательно новая уязвимость в безопасности – и она требует некоторого взаимодействия с пользователем – лучшая защита, которую могут принять пользователи macOS, — это отключить автоматическую распаковку загруженных файлов. Перейдите в «Настройки» в разделе «Safari», выберите вкладку «Общие» и снимите флажок «Открывать «безопасные» файлы после загрузки».
Прочитайте множество других подробностей об этой проблеме в полном посте Уордла здесь.
Подпишитесь на 9to5Mac на YouTube, чтобы получать больше новостей об Apple: