Разработан инструмент для поиска и анализа вредоносов для Mac

Команда исследователей кибербезопасности создала автоматизированный анализатор вредоносных программ для macOS, который упрощает процесс обнаружения и изучения растущего количества вредоносного ПО, ориентированного на компьютеры от Apple. Об этом сообщает портал DarkReading.

По словам аналитика Фам Дуй Фука (Pham Duy Phuc) из компании Sfylabs BV, ранее исследовательские инструменты для macOS, как правило, основывались на ручном анализе вредоносного ПО. Данное положение дел подтолкнуло его начать разработку инструмента, получившего название Mac-A-Mal.

«На Mac есть инструменты для поиска, отладки и анализа вредоносных программ на Mac», включая коммерческие инструменты, такие как Hopper и IDA, и инструменты с открытым исходным кодом, например, Radare2, MachO View, lldb, Otool и Dtrace, отметил специалист в электронном письме. Однако, данные инструменты в основном требуют анализа вручную.

«Каждый инструмент решает только один кусочек головоломки, и успех зависит от опыта исследователя. Использование инструментов вручную требует слишком много времени и усилий и не дает нужных результатов в борьбе с вредоносным программным обеспечением», - отметил Фук. «Во времена, когда необходимо анализировать тысячи вредоносных программ ежедневно, автоматизированная структура с использованием комбинации полезных инструментов облегчит ежедневную работу аналитика вредоносного ПО», - добавил он.

Фук и профессор Университета Тренто Фабио Массаччи (Fabio Massacci) намерены продемонстрировать Mac-A-Mal на конференции Black Hat Asia в Сингапуре. Далее они планируют открыть исходный код инструмента.

Mac-A-Mal использует комбинацию статического и динамического анализа кода для обнаружения вредоносного ПО, а также для обхода методов антианализа, которые некоторые авторы вредоносного ПО используют для предотвращения обнаружения. Инструмент собирает двоичные шаблоны поведения вредоносных программ, такие как сетевой трафик, методы маскировки и операции с файлами. Инструмент использует системные вызовы на уровне ядра, что позволяет ему работать незамеченным. «Он принимает фактические поведенческие данные образцов вредоносных программ внутри песочницы», - пояснил эксперт.

Исследователи использовали инструмент для анализа примерно 2 тыс. образцов вредоносов для Mac на VirusTotal, что привело к обнаружению ранее неизвестной рекламной кампании, в которой используются законные сертификаты Apple, кейлогеры и трояны.

По словам Фука, команда также обнаружила сотни других образцов вредоносных программ для Mac, которые было бы трудно идентифицировать с помощью ручных инструментов. Большинство образцов вредоносных программ были вредоносной рекламой, в основном OSX/Pirrit и OSX/MacKeeper. «Мы проанализировали в общей сложности 86 различных семейств вредоносных программ для Mac и 49% из них относятся к категориям бэкдор/троян», - добавил специалист.

Источник