ВРЕДОНОСЫ в macOS, опенсорсный руткит АТАКУЕТ!

Продолжаем изучать необъятный мир вредоносов с Алексеем Вишняковым. В новом выпуске вы узнаете, почему не стоит «рутовать» смартфоны, об уязвимостях в macOS (да, там они тоже существуют), а также об одной нетипичной технике внедрения вредоносного кода, с которой справляется песочница PT Sandbox (https://clck.ru/33gG9K).

00:00 Приветствие
00:25 LightSpy управляет рутованными смартфонами
01:37 Опенсорсный руткит r77 в атаке на цепочку поставок. Это ВПО надежно обнаруживается хостовыми средствами защиты, например, MaxPatrol EDR (https://clck.ru/35xkgh), а также сетевой песочницей PT Sandbox (https://clck.ru/33gG9K).
04:16 Нетипичная техника внедрения кода: включается системный вызов со специальными параметрами, вообще не относящийся к делу – и его используют как спусковой крючок для запуска внедренного кода.
Для установки функции-перехватчика используется API функция NtSetInformationProcess. Ей передаётся описатель целевого процесса и адрес на функцию-перехватчик. В нашей песочнице PT Sandbox (https://clck.ru/33gG9K) мы перехватываем системный вызов NtSetInformationProcess, проверяем параметр на факт установки instrumentation callback и за это детектим
06:00 Вредоносные NeXT Interface Builder файлы в macOS: суть уязвимости заключается в подмене NIB-файлов легитимных приложений на вредоносный. Вредоносный NIB-файл содержит специальный объект, ссылающийся на программный код в формате AppleScript
06:55 Малварь CrackShot: использует нетипичную технику уклонения. Для детектирования этого ВПО используйте PT Sandbox (https://clck.ru/33gG9K).