OSX / Linker，一种利用Gatekeeper绕过的新Mac恶意软件

华盟君引言“Mac安全软件公司Intego发现了一个名为OSX / Linker的新Mac恶意软件 ，它利用了最近披露的macOS Gatekeeper漏洞。”

Mac安全软件公司Intego的专家发现了一种新的Mac恶意软件，称为 OSX / Linker，它利用了最近披露的macOS Gatekeeper绕过漏洞。

Apple  Gatekeeper  旨在通过在允许应用程序运行之前执行大量检查来保护OS X用户。事实上，您将无法执行未经Apple开发人员签名的代码，如果该设备 当然没有越狱，您将无法运行未从Apple商店下载的应用程序  。

研究人员推测Linker恶意软件与OSX / Surfbuyer广告软件的作者相同。

5月下旬，意大利安全研究员Filippo Cavallarin演示了如何绕过 该 苹果系统 Gatekeeper通过利用对网络共享的信任。

Cavallarin 演示了如何在没有用户明确许可的情况下绕过Gatekeeper并执行不受信任的代码，并向受害者发出任何警告。

Gatekeeper将外部驱动器和网络共享视为安全位置，这意味着这些位置中的任何应用程序都可以在不征得用户同意的情况下运行。

5月下旬，安全研究员Filippo Cavallarin 在Gatekeeper  中披露  了一个错误，该错误允许从Internet下载的恶意二进制文件绕过Gatekeeper扫描进程。

攻击者需要利用macOS中实现的两个合法功能，automount（aka autofs）和缺乏特定检查。

autofs功能允许用户通过访问“特殊”路径自动安装网络共享，在这种特定情况下，任何以“/ net /”开头的路径（即/net/evil-attacker.com/sharedfolder/）。

第二个功能被利用来包含ZIP存档指向任意位置的符号链接，在本例中为automount端点。

Cavallarin发现负责解压缩ZIP存档的软件不会对符号链接执行任何检查。

攻击者可以创建一个ZIP文件，其中包含指向其控制下的自动挂载端点的符号链接，并将其发送给受害者。攻击情形看到受害者下载存档并遵循符号链接，它们被重定向到受Gatekeeper信任的攻击者控制的位置。 

Gatekeeper旁路缺陷会影响所有macOS版本，包括最新版本（版本10.14.5），Apple尚未发布更新以解决此问题。

Cavallarin在2月22日报告了苹果的漏洞，但苹果错过了90天的截止日期，并且不再回复专家的电子邮件。

不幸的是，vxers已经开始在其恶意软件中包含漏洞利用代码。Intego专家已经分析了一些恶意软件样本，这些样本似乎是对使用Gatekeeper旁路的一种测试。

磁盘映像文件是带有.dmg文件名的ISO 9660映像，或实际的Apple磁盘映像格式.dmg文件。

“Intego观察了6  个样本  ，这些样本在6月6日上传到VirusTotal，似乎是在创建每个磁盘映像的几个小时内，所有样本都链接到可访问Internet的NFS服务器上的一个特定应用程序。” Intego发布的分析读取。

“这四个文件中的每一个都是匿名上传的，这意味着用户没有登录到VirusTotal帐户。”

专家分析的所有OSX / Linker恶意软件样本都伪装成Adobe Flash Player安装程序，这种情况表明它们是实际的恶意软件负载测试。

在撰写本文时，尚未在野外观察到OSX / Linker恶意软件样本。

Intego通知Apple，OSX / Surfbuyer广告软件团伙滥用Apple开发者ID签署他们的恶意OSX / Linker样本，以便让这家科技巨头撤销滥用的证书。