最新的macOS安全更新试图让黑客难以访问操作系统的某些部分。 让我们仔细看看这个新功能的工作原理以及我们可以做些什么来欺骗隐藏试图访问受保护数据的应用程序来源。
MacOS在最近的Mojave 10.14版本中引入了一些新的安全功能。 一项功能可识别尝试复制,修改或使用某些文件和服务的应用程序。 此功能将向用户显示试图访问位置服务,内置摄像头,地址簿,麦克风和其他敏感数据的应用程序的安全通知。 以下是此新功能的示例通知。
在上面的GIF中,攻击者试图使用显示为普通文本文件的木马化AppleScript来修改受保护的数据。 该目标正在社交工程中打开名为“passwords.txt”的文件 – 可能包含足够有趣的内容,使他们双击该文件。
该有效负载的第一部分打开一个包含任意数据的实际文本文件,旨在使他们相信该文件是合法的。 第二部分在没有目标知识的背景下透明地发生。
我们可以看到,Mojave识别出后台发生的邪恶活动,并立即警告目标用户。这个新的安全功能可以防止部分攻击 – Mojave做得确实很好。
这让我想到了绕过这个安全功能的方法。经过一些试验和错误后,我制定了一个执行以下活动的简单有效负载。
这次看起来好像iTunes正在请求对用户数据的管理访问。 如果目标单击“确定”按钮,则将执行有效负载。 macOS(以前称为“OS X”)用户体验iTunes和App Store通知的情况并不少见,因此这似乎是一种理想的社交工程策略。
你会注意到另一件事是TextEdit和iTunes打开之间有多少时间。 延迟被添加,故意为了进一步隐瞒背景活动。 目的是在目标打开假文本文件后,执行恶意活动数分钟 – 甚至数小时。 单击文件和执行有效负载之间的时间越长,目标就越不可能怀疑假的passwords.txt文件作为活动的来源。
更多内容,参阅https://via-dean.com
