22 February 2013

Malware Mac OS X Terbaru: Pintsized

Satu backdoor Trojan yang baru untuk OS X muncul dengan percubaan untuk membentuk satu sambungan yang selamat (secure connection) kepada penggodam dan memberi laluan kepada mereka untuk menyusup masuk dan mencuri maklumat-maklumat sulit.

Malware tersebut yang diberi nama, 'Pintsized' oleh Intego disyaki menggunakan OpenSSH yang telah di ubah suai untuk membentuk satu 'reverse shell' yang akan memberikan sambungan yang selamat kepada pelayan luar (remote server).

Penggunaan sambungan yang telah di-sulit (encrypt) membuatkan malware ini susah untuk di kesan dan dijejaki, lebih-lebih lagi apabila ia menggunakan protokol SSH. Tambahan pula, malware ini mencuba untuk menyembunyikan dirinya sendiri dengan menyamarkan fail-failnya untuk kelihatan seperti komponen sistem cetakan OS X, khususnya yang berikut:
  •   com.apple.cocoa.plist
  •   cupsd (Mach-O binary)
  •   com.apple.cupsd.plist
  •   com.apple.cups.plist
  •   com.apple.env.plist
Intego tidak menyatakan di mana fail-fail ini diletakkan di dalam OS. Namun seperti malware-malware OS X sebelum ini, ia memerlukan satu cara untuk melancarkan malware tersebut secara automatik apabila sistem dimulakan atau pengguna mendaftar masuk. Malware ini mengeksploitasi pelbagai direktori agen pelancar (Launch Agents) yang terdapat di dalam sistem OS X untuk mencapat matlamat tersebut.

Oleh itu, untuk mengesan malware terbaru ini, buka dan semak direktori-direktori berikut untuk mengesan kehadiran mana-mana fail yang tersebut di atas:
  •   /System/Library/LaunchDaemons
  •   /System/Library/LaunchAgents
  •   /Library/LaunchDaemons
  •   /Library/LaunchAgents
  •   ~/Library/LaunchAgents

Oleh kerana pembuat Malware menggunakan direktori dan fail di atas sebagai platform untuk melancarkan malware mereka di dalam sistem OS X, satu cara mudah untuk mengesan salah guna direktori-direktori tersebut adalah untuk menetapkan satu sistem pemantauan yang akan memaklumkan anda apabila ada fail baru yang dimasukkan ke dalam direktori tersebut.


Selain cara di atas, anda juga boleh meletakkan 'reverse firewall' seperti Little Snitch untuk memantau jika terdapat program yang cuba untuk melakukan sambungan kepada pelayan luar.

Setakat ini, masih belum diketahui bagaimana malware ini melakukan serangannya, sama ada ia mengeksploitasi kelemahan-kelemahan yang telah dikesan sebelum ini atau yang masih belum dapat di kesan. Walau bagaimanapun, malware ini dikhabarkan masih belum tersebar luas. Namun, jika anda melakukan pemeriksaan ke atas direktori-direktori seperti di sebut di atas untuk mengesan kehadiran malware ini, anda boleh menentukan sama ada sistem anda bebas daripadanya atau pun tidak.

Antara malware yang pernah di kesan di dalam Mac OS X adalah :
Sumber: CNet

No comments:

Post a Comment