Presentan Rootkit para Mac en #BlackHat
En la conferencia de seguridad BlackHat el investigador de seguridad australiano Loukas K. (Snare) demostró un rootkit para Mac (PDF explicativo aquí).
En este caso, es la aplicación maliciosa se base en un ataqe al protocolo Extensible Firmware Interface (EFI), que ha sido implementado por un gran número de fabricantes de motherbase, para sustituir a la clásicas BIOS.
El rootkit es capaz de inyectarse en el firmware EFI de un MacBook Air y saltear el sistema de cifrado FileVault del disco duro. Aunque la idea de un rootkit en EFI no es nuevo, esta es la primera vez que se ha demostrado en vivo y el hacker ha utilizado un método hasta ahora desconocido sobre la base de modificar una placa Eternet Thunderbolt.
Desde el punto de vista de un atacante, un rootkit insertado en la BIOS EFI tiene algunas ventajas importantes. El código malicioso sobrevive al reiniciar el sistema, es capaz de saltarse el cifrado del disco, no tiene que realizar cambios en el sistema de archivos disco duro, y sin embargo está en condiciones de modificar el núcleo del sistema operativo al arrancar el mismo. La infección requiere acceso físico a la computadora.
Dependiendo de los puertos disponibles en el sistema, un atacante puede insertar una unidad flash USB o elegir el nuevo método a través del adaptador Ethernet.
Fuente: Apfeltalk
En este caso, es la aplicación maliciosa se base en un ataqe al protocolo Extensible Firmware Interface (EFI), que ha sido implementado por un gran número de fabricantes de motherbase, para sustituir a la clásicas BIOS.
El rootkit es capaz de inyectarse en el firmware EFI de un MacBook Air y saltear el sistema de cifrado FileVault del disco duro. Aunque la idea de un rootkit en EFI no es nuevo, esta es la primera vez que se ha demostrado en vivo y el hacker ha utilizado un método hasta ahora desconocido sobre la base de modificar una placa Eternet Thunderbolt.
Desde el punto de vista de un atacante, un rootkit insertado en la BIOS EFI tiene algunas ventajas importantes. El código malicioso sobrevive al reiniciar el sistema, es capaz de saltarse el cifrado del disco, no tiene que realizar cambios en el sistema de archivos disco duro, y sin embargo está en condiciones de modificar el núcleo del sistema operativo al arrancar el mismo. La infección requiere acceso físico a la computadora.
Dependiendo de los puertos disponibles en el sistema, un atacante puede insertar una unidad flash USB o elegir el nuevo método a través del adaptador Ethernet.
Fuente: Apfeltalk
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!