Haupt Software Was Sie über den Flashback-Trojaner wissen müssen
Software

Was Sie über den Flashback-Trojaner wissen müssen

NachrichtenTablets 6. April 2012 5:50 PDT Monster Gremlin-Bug

Am 4. April hat der russische Antivirus-Anbieter Dr. Web starke Beweise veröffentlicht dass mehr als 500.000 Macs mit der neuesten Variante des Flashback-Trojaners infiziert sind. Als Mikko Hypponen, Chief Researcher bei F-Secure per Twitter darauf hingewiesen , wenn es ungefähr 45 Millionen Macs gibt, hätte Flashback jetzt mehr als 1 Prozent von ihnen infiziert, was Flashback für Mac ungefähr so ​​häufig macht wie Conficker für Windows. Flashback scheint die am weitesten verbreitete Mac-Malware zu sein, die wir seit den Tagen gesehen haben, als Viren auf infizierten Disketten verbreitet wurden. es könnte das meiste sein wesentlich Malware-Infektion jemals die Mac-Community treffen wird.

Hier erfahren Sie, was Sie über Flashback wissen müssen, was Sie dagegen tun können und was es für die Zukunft der Mac-Sicherheit bedeutet.



Was ist Rückblende?

Flashback ist der Name für ein im September 2011 entdecktes bösartiges Softwareprogramm, das versuchte, Benutzer zur Installation zu verleiten, indem es sich als Installer für Adobe Flash ausgab. (Antivirus-Anbieter Intego glaubt Flashback wurde von den gleichen Leuten erstellt, die hinter dem MacDefender-Angriff steckten, der letztes Jahr stattfand.) Während die ursprüngliche Version von Flashback und seine ersten Varianten auf Benutzer angewiesen waren, um sie zu installieren, dieses neue Formular nennt man im Sicherheitsgeschäft a Drive-by-Download : Flashback muss nicht von einem Benutzer installiert werden, sondern verwendet eine ungepatchte Java-Sicherheitslücke, um sich selbst zu installieren.

Wenn Sie eine bösartige (oder unfreiwillig infizierte) Website besuchen, die Flashback hostet, versucht das Programm, ein speziell gestaltetes Java-Applet anzuzeigen. (Wir wissen noch nicht, wie viele Websites Flashback hosten.) Wenn Sie eine anfällige Java-Version installiert und in Ihrem Webbrowser aktiviert haben, infiziert der Schadcode Ihr System und installiert dann eine Reihe von Komponenten. Da Apple erst am 3. April ein Update für diese anfällige Java-Version veröffentlicht hat, waren und sind viele Benutzer anfällig.

Nach der Erstinfektion öffnet Flashback ein Software-Update-Fenster, um zu versuchen, Ihr Administratorkennwort zu erhalten, aber es tut dies nur, um sich tiefer in Ihren Mac einzubetten. Auch wenn Sie sich zu diesem Zeitpunkt nicht täuschen lassen, sind Sie immer noch infiziert.

Sobald es erfolgreich ist, Ihren Mac zu infizieren, fügt sich Flashback selbst in Safari ein und ( gemäß F-Secure ) scheint Informationen aus Ihren Web-Browsing-Aktivitäten zu sammeln, einschließlich Benutzernamen und Passwörter. Anschließend sendet es diese Informationen an Command-and-Control-Server im Internet.

Das Bedeutsame ist, dass Flashback sich im Gegensatz zu fast allen anderen Mac-Malware, die wir gesehen haben, in Ihr System einschleichen kann, wenn Sie lediglich eine infizierte Webseite besuchen und anfällige Software verwenden. Sie machen nicht müssen Sie Ihr Administratorkennwort eingeben oder etwas manuell installieren.

Bin ich gefährdet?

Sie sind gefährdet, wenn Sie vier Kriterien erfüllen:

1. Auf Ihrem Mac ist Java installiert. Eine Möglichkeit, dies herauszufinden: Öffnen Sie das Terminal und geben Sie |_+_| . ein an der Aufforderung. Wenn Sie Java installiert haben, erhalten Sie eine Versionsnummer. Es wird standardmäßig unter OS X 10.6 Snow Leopard installiert, jedoch nicht unter OS X 10.7 Lion. (Aber wird installiert, wenn Sie es zum ersten Mal ausführen müssen, was bedeutet, dass die meisten Macs es wahrscheinlich haben).

2. Sie haben nicht die Java für OS X Lion 2012-001 (wenn Sie OS X Lion verwenden) oder Java für Mac OS X 10.6 Update 7 Eingerichtet (wenn Sie Snow Leopard verwenden) oder Sie wurden infiziert, bevor einer von beiden installiert wurde. Beide Updates installieren Java Version 1.6.0_31; das laufen lassen |_+_| Der obige Befehl sagt Ihnen, ob Sie das haben.

3. Sie erlauben die Anzeige von Java-Applets in Ihrem Browser. Gehen Sie in Safari zu Einstellungen > Sicherheit > Webinhalt und prüfen Sie, ob die Option Java aktivieren aktiviert ist. Sie können diese Option deaktivieren, indem Sie sie deaktivieren.

4. Auf Ihrem Mac sind bestimmte Sicherheitstools nicht installiert, nach denen Flashback sucht , darunter Little Snitch, Xcode und einige Anti-Malware-Tools.

Antivirus-Anbieter scheinen diese spezielle Version von Flashback einige Tage nach ihrem Erscheinen nicht entdeckt zu haben, obwohl einige Anbieter – darunter Intego —geschützte Benutzer mit Updates Ende März. Malware teilt oft Code-Bits aus früheren Versionen, die von Antivirenprodukten erkannt werden können, bevor diese Produkte speziell aktualisiert wurden, um neuere Versionen abzufangen, aber ein solcher Schutz ist ein Hit-or-Miss.

Wie kann ich feststellen, ob ich infiziert bin?

F-Sicher Anleitungen zum Überprüfen Ihres Macs veröffentlicht , die die Ausführung einiger Befehle im Terminal erfordern. Alle Antivirenprodukte sollten es zu diesem Zeitpunkt auch erkennen, wenn Sie die neuesten Signaturen installiert haben. (Normalerweise können Sie dies manuell in den Einstellungen Ihrer Sicherheits-App tun, dies variiert jedoch von Produkt zu Produkt; die meisten werden automatisch aktualisiert).

Wie kann ich mich schützen?

Das erste, was Sie tun müssen, ist das Software-Update auszuführen und sicherzustellen, dass Sie über die neuesten Patches verfügen. Dadurch werden Infektionen verhindert, die die aktuelle Schwachstelle ausnutzen; Es gibt keine anderen bekannten Infektionsvektoren (außer Sie dazu zu verleiten, es zu installieren, was nicht so schnell verschwinden wird und nicht auf Java angewiesen ist).

Es gibt noch ein paar andere Dinge, die ich Ihnen empfehlen würde, um die Wahrscheinlichkeit zukünftiger Drive-by-Malware-Infektionen zu verringern:

Deaktivieren Sie Java in Safari und anderen Webbrowsern. Im Gegensatz zu Flash wird es heutzutage kaum noch benötigt. Gehen Sie in Safari erneut zu Einstellungen -> Sicherheit -> Webinhalt und deaktivieren Sie Java aktivieren. Die Leute von TidBITS Anleitungen und Screenshots gepostet um dasselbe in Chrome und Firefox zu tun.

Deinstallieren Sie Flash und verwenden Sie Google Chrome als Browser. Google Chrome enthält eine eingebettete Sandbox-Version von Flash, die die Wahrscheinlichkeit verringert, dass ein Angreifer Ihr System infizieren kann. Laden Sie das Flash-Deinstallationsprogramm herunter , dann Google Chrome installieren .

Wenn Sie Java überhaupt nicht benötigen, deaktivieren Sie es. Das Dienstprogramm Java Preferences befindet sich in /Applications/Utilities; Deaktivieren Sie die Kontrollkästchen neben den auf der Registerkarte Allgemein aufgeführten Versionen. Aber Vorsicht: Einige Programme wie CrashPlan (den ich verwende) benötigen es. Aber es gibt nicht mehr viele solche Apps auf dem Mac-Markt.

Ich benutze immer noch Safari, aber wenn ich Flash brauche, wechsle ich zu Google Chrome. Aus Angst vor solchen Angriffen lasse ich Java seit einigen Jahren nicht mehr in meinem Browser laufen. Mac-Antivirus-Tools können helfen, aber sie fangen immer noch nicht alles ab. Allerdings sind die aktuellen Programme weit weniger aufdringlich und leistungsbeeinträchtigend als früher; einige von ihnen (einschließlich Sophos und MuschelXav ) bieten kostenlose Versionen an. Denken Sie daran, dass Antiviren-Tools nicht perfekt sind und Sie immer noch mit neuer Malware infiziert werden können, wenn diese Tools nicht speziell davor schützen. Viele Windows-Benutzer lernen diese Lektion täglich auf die harte Tour.

Gibt es wirklich mehr als eine halbe Million infizierte Macs?

Ja, das sieht wirklich so aus.

Obwohl wir keine unabhängige Validierung haben, sind die von Dr. Web beschriebenen Techniken zur Messung der Infektion plausibel: Erdloch , Dr. Web leitete den Command-and-Control-Datenverkehr an seinen eigenen Analyseserver um. Da jeder infizierte Mac beim Verbinden mit dem Server seine eindeutige Geräte-ID bereitstellt, kann Dr. Web Infektionen pro Computer zählen; das ist genauer, als Verbindungen basierend auf IP-Adressen zu zählen (die von mehreren Macs gemeinsam genutzt werden können).

Wir haben auch anekdotische Beweise, die die Behauptung stützen. Bei der Verlinkung zu a Bericht über Ars Technica zu Flashback fragte John Gruber seine Leser bei Gewagter Feuerball um ihre Macs zu überprüfen und ihn wissen zu lassen, ob sie infiziert waren. Im Laufe von sechs Stunden erhielt John positive Berichte von etwa einem Dutzend seiner Leser – die im Allgemeinen erfahrene Mac-Benutzer sind.

Unterscheidet sich dies von früherer Mac-Malware?

Flashback ist die erste weit verbreitete Drive-by-Malware, die Macs angreift. Dies ist eine der schädlichsten Angriffstechniken, die Windows-Benutzer seit langem beunruhigt, und stellt einen großen Fortschritt dar.

Die meisten Mac-Malware versteckt sich in Softwareprogrammen – wie Raubkopien, obskuren Spielen oder nicht standardmäßigen Videoplayern –, die der durchschnittliche Benutzer wahrscheinlich nicht installieren wird. Da es einen anfälligen Computer ohne Benutzerinteraktion infizieren kann, ist Flashback viel ernster. Wie wir in der Windows-Welt gesehen haben, ist dies eine äußerst effektive Technik.

Intego sagt es hat Dutzende neuer Varianten entdeckt in den letzten Tagen, was bedeutet, dass die Malware-Autoren hart daran arbeiten, die Lebensdauer der Infektion zu verlängern.

Ist Apple verantwortlich?

Die Sicherheitslücke in Java, die Flashback ausnutzt, wurde im Februar von Oracle (das Java im Rahmen der Übernahme von Sun Microsystems geerbt hat) gepatcht. Aber Apple wartete fast zwei Monate, um OS X mit dieser gepatchten Version zu aktualisieren.

Dies ist das größte Sicherheitsproblem für Macs. OS X enthält eine Reihe von Softwarekomponenten von Drittanbietern und der Open-Source-Software-Community, und Apple hat eine schreckliche Erfolgsbilanz bei der Aktualisierung dieser Komponenten. Wenn eine Schwachstelle öffentlich bekannt wird, weil sie auf einer anderen Plattform gepatcht wurde, aber nicht auf einer anderen, haben die Bösen eine klare Roadmap, um dieses ungepatchte System zu kompromittieren.

wie man einen verbogenen ipad rahmen repariert

Apple mag glauben, dass der Verzicht auf Flash oder Java in aktuellen Versionen von OS X diese Art von Angriffen verhindert, aber noch immer installieren zu viele Benutzer diese Tools. Apple hat unglaubliche Fortschritte bei der Verbesserung der Sicherheit seiner Produkte gemacht, aber das verzögerte Patchen bekannter Schwachstellen ist immer noch ein Problem.

Was bedeutet dies für die Zukunft von Malware auf Macs?

Flashback bedeutet nicht unbedingt, dass Macs bald so mit Malware beladen sein werden wie Windows-Computer. Aber die Zukunft der Sicherheit der Plattform hängt stark von Apple und dem guten altmodischen Glück ab.

Drive-by-Angriffe beruhen auf Schwachstellen in Webbrowsern und anderer Software – wie E-Mail- und RSS-Readern – die Webseiten anzeigen. Es reicht nicht aus, anfällige Software auszuführen; diese Software muss sein ausnutzbar , was bedeutet, dass ein Angriff seine Ranken in Ihr System ausdehnen kann. Apple hat eine Reihe von Technologien eingeführt – Tools wie Address Space Layout Randomization (ASLR), Sandboxing und NS – um die Chancen einer Ausbeutung zu verringern, selbst wenn ein Mac anfällig ist, und um den potenziellen Schaden eines Angriffs zu begrenzen. Aber diese Technologien sind nicht perfekt, insbesondere wenn es um komplexe Programme geht, die Webinhalte wie Java oder Adobe Flash ausführen.

Apple muss eindeutig mit dem Patchen von Software beginnen, die bekannt schneller angreifbar zu sein. Nach dem Erfolg von Flashback können wir nur davon ausgehen, dass die Bösen schneller handeln werden, wenn sie das nächste Mal diese Gelegenheit erhalten. Cupertino sollte über weitere Sandboxing-Safari nachdenken. Es sollte auch die Möglichkeit untersuchen, Flash und Java unabhängig voneinander zu sandboxen; Wenn letzteres technisch nicht machbar ist, sollte das Unternehmen direkter mit den Anbietern dieser Technologien zusammenarbeiten, um Sandkasten-Mac-Versionen zu entwickeln. Adobe hat Acrobat unter Windows kürzlich um umfangreicheres Sandboxing erweitert, was die Effektivität von Angriffen verringert hat.

Gatekeeper wird das Spiel für manuell installierte Trojaner erheblich verändern, wenn es später in diesem Jahr veröffentlicht wird. es wird diese Form des Angriffs viel weniger profitabel (und damit weniger wahrscheinlich) machen.

Die bösen Jungs interessieren sich jetzt eindeutig mehr für Macs. Aber wir müssen unsere Perspektive behalten: Wir sehen immer noch viel weniger Malware für Macs als beispielsweise für Android-Handys. Es besteht jedoch kein Zweifel, dass Flashback eine bedeutende Entwicklung ist. Ich glaube, es zeigt uns Wille Sehen Sie mehr Malware auf Macs. Ich bin auch überzeugt, dass dies seltene Ereignisse sein werden und nicht der anhaltende Ansturm von Epidemien, den einige Beobachter vorhersagen – solange wir alle Vorkehrungen treffen und wachsam bleiben.

[ Rich Mogull arbeitet seit 18 Jahren in der Sicherheitswelt. Er schreibt für TidBits und arbeitet als Sicherheitsanalyst durch Securosis.com . ]