Attaques ciblées et OS X

Magazine
Marque
MISC
Numéro
67
Mois de parution
mai 2013
Domaines


Résumé
Depuis RSPlug, le DNSChanger Mac, et Flashback, le paysage des logiciels malveillants OS X s’est majoritairement construit autour d’attaques ciblées. Les menaces Imuler, Olyx, Revir, Tibet, MacKontrol, Sabpab, Dockster et CallMe exploitent diverses failles corrigées (PDF, Office, Java, Flash) puis déposent des portes dérobées. Ces attaques visaient le plus souvent des activistes tibétains. Plus récemment, des gouvernements peu scrupuleux espionnent et s’accusent. Après un rappel des technologies nécessaires à la compréhension de l’article, nous analyserons en profondeur Pintsized et Crisis, une porte dérobée et un rootkit, afin de mieux apprécier la sophistication des malwares sur OS X.

1. Lexique corporate

1.1 Mach-O

Les binaires Apple sont des fichiers au format Mach-O [LEX1]. Les binaires universels (FAT) regroupent plusieurs fichiers Mach-O, un par architecture, dans un conteneur, par exemple lsock pour OS X et iOS [LEX2] :

$ file lsock

lsock: Mach-O universal binary with 2 architectures

lsock (for architecture x86_64): Mach-O 64-bit executable x86_64

lsock (for architecture armv7): Mach-O executable arm

L’en-tête du fichier définit l’architecture, le type (application, extension, objet), le nombre et la taille des commandes de chargement (Load Commands). Ces commandes définissent les emplacements et les tailles, brutes et relatives, et le niveau de protection en mémoire (lecture, écriture, exécution) des segments. Elles indiquent également les symboles, les bibliothèques chargées dynamiquement, ou encore le point d’entrée du binaire (EIP dans LC_UNIXTHREAD). La partie des données contient les segments et leurs sections, ainsi que la signature de...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Répondez aux problématiques de sécurité d’accès avec OpenSSH

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Notre infrastructure est désormais stable et sécurisée tant au niveau système que réseau. Nous allons pouvoir étudier de manière un peu approfondie un logiciel particulier : OpenSSH. Ce démon réseau nous permet de nous connecter en toute sécurité sur nos serveurs via le protocole SSH. Son développement a commencé il y a plus de 20 ans chez nos amis d’OpenBSD. La liste de ses fonctionnalités est d’une longueur impressionnante. Nous allons en parcourir ensemble quelques-unes qui, je l’espère, nous permettront d’améliorer tant notre sécurité que notre productivité quotidienne.

Les lolbas, des amis qui vous veulent du bien

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Il existe des fichiers nativement présents sur Windows pouvant être détournés par un attaquant et ainsi être utilisés lors des différentes phases de compromission. Dans cet article, nous présenterons quelques cas d’utilisations de ces fichiers par des attaquants, ainsi que des solutions de prévention contre ces attaques.

Surveiller son système avec Monit

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

La supervision d’un système en production demeure un enjeu aussi complexe qu’essentiel. Il existe de nombreuses solutions, très complètes, de supervision, mais la plupart adoptent une approche centralisée, qui demande l’utilisation de ressources dédiées. Aujourd’hui, nous étudierons une approche alternative, une solution de supervision décentralisée, nommée Monit.

Sécurité réseau dans un cluster Kubernetes

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

En introduisant le concept de micro-services, Kubernetes lance un nouveau défi aux solutions d’isolation et de filtrage réseau : comment gérer les droits d’accès réseau dans une infrastructure en constante mutation et dans laquelle une machine n’a plus un rôle prédéterminé ?

Fabric, le couteau suisse de l’automatisation

Magazine
Marque
Linux Pratique
Numéro
122
Mois de parution
novembre 2020
Domaines
Résumé

Fabric est une bibliothèque Python et une interface en ligne de commandes facilitant l’utilisation de SSH, que ce soit pour des applications ou dans le but d’automatiser certaines tâches répétitives d’administration système. La grande force de Fabric est d’être particulièrement simple à utiliser.