Malware y herramientas de seguridad en Mac OS

Publicado el 10/08/2016, por INCIBE
Malware y herramientas de seguridad en Mac OS

En general, entre los usuarios de ordenadores de Apple, la existencia de malware no se contempla como un problema que requiera especial interés. Pero… ¿Está fundamentada esta despreocupación?, ¿Son los mecanismos de seguridad de Mac OS suficientes?, ¿Es el sistema operativo de Apple un sistema invulnerable al malware?. En todos los casos la respuesta es NO.

Es cierto que para  Mac OS, la incidencia de malware es  menor si se compara con otras plataformas como Windows o Android, pero la razón de ello no es tanto la seguridad del sistema, sino un menor interés de los atacantes en dicha plataforma debido a que sus objetivos se centran en sistemas más extendidos. Sin embargo, esta razón ha empezado a perder peso en los últimos años pricipalmente por el crecimiento de Apple, aunque también posiblemente contribuyan otras razones como el fenómeno de IoT (Internet of Things), que nos sitúa en un escenario mundial cada vez más interconectado y que motiva la aparición de malware multiplataforma con versiones para múltiples sistemas. 

Además hay que tener en cuenta que, el hecho de no estar entre los objetivos prioritarios de malware también tiene su vertiente negativa; existe menor conocimiento sobre infecciones y las técnicas de ataque empleadas y por consiguiente, los sistemas de protección están menos preparados. Apple introdujo con Mac OS “El Capitan” una nueva medida de seguridad denominada System Integrity Protection (SIP). Esta medida se orienta a proteger el kernel del sistema operativo, así como archivos y rutas críticas contra cualquier manipulación. Los detalles de SIP se describen con detalle en el artículo: Modelo de seguridad Mac OS (II) . SIP complementa otras medidas ya existentes anteriormente, como XProtect o GateKeeper que conforman modelo de seguridad básico en Mac OS contra software no identificado. Sin embargo, las medidas de protección integradas en Mac OS trabajan de modo trasparente para el usuario y el sistema operativo no proporciona mecanismos manuales y sencillos para analizar el estado de seguridad.

Todas estas razones hacen interesante conocer la situación del malware para Mac OS y que herramientas hay disponibles para revisar la seguridad del sistema.

Un vistazo al malware para Mac OS

La existencia de malware para Mac OS ha crecido significativamente desde 2014 y han aparecido versiones específicas de malware (como ransomware) y exploits de productos generales como Java o Adobe que se han adaptado para comprometer ordenadores y dispositivos de Apple. Aunque hasta 2010 la incidencia y valor del malware en Mac OS ha sido testimonial, si se revisa el último lustro, no es difícil identificar varios casos significativos de malware en Mac OS.

En 2011 circuló el troyano OSX.Flashback que infectó más de 500.000 ordenadores Apple creando una botnet. Este malware llegaba al sistema explotando una vulnerabilidad Java a través del  navegador al visitar un sitio web malicioso. Una vez descargado al equipo, Flashback realizaba verificaciones para comprobar la compatibilidad con el sistema infectado o la existencia de herramientas antivirus y, en caso de detectar un entorno no deseado, se eliminaba a sí mismo para evitar detecciones. Su operación principal era la intercepción de tráfico y robo de información según la configuración que obtenía desde un centro de comando y control.

Crisis, es otro ejemplo que data de 2012 y que demuestra que Apple empieza a considerarse un objetivo importante al ser desarrollado de forma profesional por la compañía Hacking Team, que trabajaba principalmente para gobiernos. Hacking Team, que fue hackeada en 2015 desarrolló un sofisticado rootkit que, oculto en el sistema,  permitía espiar y controlar remotamente la máquina infectada.

En 2014 destaca Wirelurker cuya característica más significativa es el uso de puertos USB para infectar otros dispositivos, incluyendo iOS sin jailbreak. Incluía un componente backdoor que periódicamente establecía una conexión inversa contra una dirección IP de control predeterminada. 2014 es el año donde se produce  un  punto de inflexión en casos de malware para Mac OS, tanto en número como en sofisticación.

Entre las muestras más recientes aparecen casos de impacto como XcodeGhost (2015). Este malware de tipo troyano, se ocultaba en una versión modificada de XCode, la conocida herramienta de desarrollo de Apple. Xcode es un entorno de desarrollo proporcionado por Apple de forma gratuita, sin embargo en lugares como China su descarga es complicada y lenta lo que propició que esta alternativa maliciosa se propagase rápidamente. Esta versión manipulada de Xcode incluía un mecanismo que inyectaba silenciosamente código malicioso orientado al robo de credenciales, troyanizando sin conocimiento del programador las aplicaciones desarrolladas. Estas aplicaciones se distribuían cuando el desarrollador infectado con el malware las publicaba en el Apple Store.

Ya en 2016 aparecen versiones para Mac del cada vez más extendido ransomware, siendo KeRanger el caso más conocido. Así, en marzo de 2016 y valiéndose de una versión troyanizada de Transmission (una aplicación cliente de BitTorrent), el ransomware KeRanger logró distribuirse de forma masiva cuando se subió la versión maliciosa al sitio oficial de descarga. KeRanger hace uso de un certificado de desarrollador legítimo firmado por Apple y actúa cifrando todos los ficheros ubicados bajo la ruta /Users y numerosos ficheros con extensión determinada (documentos, imágenes, videos, audios, etc) bajo la ruta /Volumes, todo ello con el objetivo de solicitar dinero para su recuperación.

 

transmission

- Cliente BitTorrent Transmission para Mac OS -

 

Finalmente, es interesante mencionar a Eleanor, un backdoor que fue descubierto por BitDefender en una supuesta aplicación de conversión de formato de ficheros. Este malware posee unas funcionalidades muy sofisticadas para el control remoto del sistema infectado a través de un servicio oculto en la red Tor, demostrando un diseño que pone de manifiesto la creciente evolución del malware en Mac OS.

 

Eleanor

- Eleanor. Panel de control en un servicio oculto en la red Tor - FUENTE: BitDefender -

 

Es patente que Mac OS empieza a resultar una plataforma de interés creciente para los desarrolladores de malware con un brutal crecimiento de casos desde 2014, hecho que confirman estudios como el Informe de McAfee Labs sobre amenazas (2016). Visualmente, el siguiente gráfico representa esta tendencia:

- Tendencia del malware en Mac OS -

 

A la vista de estos datos, es necesario cambiar ideas preconcebidas y tener en mente que, tomar medidas de protección en Mac OS empieza a ser una necesidad que conviene tener cubierta. Emplear soluciones antivirus reconocidas sería la opción más cómoda para el usuario medio, pero para usuarios más avanzados, existen algunas herramientas de gran valor que merece la pena conocer y que de forma breve se describen a continuación.

Herramientas y análisis del sistema

Las medidas de seguridad intrínsecas de Mac OS descritas en los artículos Modelo de seguridad Mac OS (I) y Modelo de seguridad Mac OS (II) proporcionan la base de seguridad del sistema, pero como se ha mencionado, actúan de modo transparente y con poca interacción con el usuario. Para realizar una verificación manual del estado de seguridad de Mac OS, se proponen algunas herramientas de seguridad interesantes que permiten comprender, de modo más directo, lo que está sucediendo en el sistema.

KnockKnock

Esta herramienta realiza un escaneo del sistema en busca de software instalado de forma persistente y que no se encuentra entre los objetos reconocidos del sistema. Busca extensiones del kernel, programas que se ejecutan al arranque o librerías dinámicas entre otros.

- Resultados de análisis con KnockKnock -

 

BlockBlock

Con una funcionalidad similar a la herramienta anterior, BlockBlock actúa de modo continuo y verifica automáticamente y de forma periódica, la aparición  de nuevo software permanente como demonios  de arranque o agentes. En caso de detección se notifica su existencia al usuario para decidir el bloqueo o bien, permitir la ejecución.

- BlockBlock. Detección de elemento sospechoso -

 

Task Explorer

Como alternativa al monitor de actividad de Mac OS, Task Explorer proporciona una visión más profunda de los procesos en ejecución y sus relaciones con recursos del sistema. Permite seguir de forma más directa e intuitiva el entorno en que se está ejecutando un proceso y verifica con Virus Total su posible origen malicioso.

- Resultado de Task Explorer -

 

RamsonWhere

Esta aplicación monitoriza la aparición de ficheros cifrados en el sistema, alertando al usuario para detener el proceso lo antes posible. Es de gran utilidad como medida reactiva ante una infección con ransomware.

- Alerta notificada por Ramsonwhere -

 

KextViewr

Esta utilidad se orienta al análisis del propio sistema operativo y facilita mucho la verificación de módulos (extensiones) del kernel del sistema. Proporciona de forma intuitiva y directa información sobre los ficheros relacionados y verifica la firma digital. Igualmente integra una verificación de los mismos con VirusTotal.

- KextViewr. Extensiones del kernel -

 

Osquery

Osquery es una herramienta desarrollada por Facebook con soporte para múltiples plataformas y que permite consultar el estado del sistema a través sencillas consultas SQL. Tiene un gran potencial para el análisis de incidentes, ya que recoge en múltiples tablas de consulta un importante volumen de información sobre procesos, conexiones de red, módulos del kernel y otros muchos datos de gran utilidad, que facilitan un completo análisis del sistema en busca de intrusiones o problemas de seguridad.

La aplicación puede ejecutarse en modo interactivo y no necesita correr ningún servicio proporcionando una API sencilla y ligera:

- Menú de ayuda de osquery -

Por ilustrar con un ejemplo, una verificación muy útil sería comprobar que procesos tienen puertos abiertos en escucha:

consulta-osquery

- Osquery. Consulta de puertos en escucha -

Como podemos ver, Osquery evita tener que conocer los comandos concretos del sistema operativo proporcionando potencia de análisis y cubriendo un amplio espectro de objetivos con una sencillez meridiana. Es una herramienta muy a tener en cuenta y cuyo empleo facilitará multitud de tareas y verificaciones típicas en auditorias de seguridad.

Chkrootkit y rkhunter

Chkrootkit y rkhunter son herramientas de código libre cuyo objetivo es verificar posibles infecciones por rootkits comprobando síntomas típicos de infecciones conocidas, detectando ficheros,  procesos ocultos o puertos de red abiertos. Son utilidades ampliamente conocidas en mundos *NIX. Aunque pueden resultar de ayuda para descubrir elementos y/o operaciones ocultas, hay que tener en cuenta que no han sido actualizadas desde 2014 (en el momento de escribir este artículo). No obstante, puede resultar interesante comprobar los resultados obtenidos con estas herramientas ya que pueden dar indicaciones sobre elementos sospechosos.

Conclusiones

La incidencia de malware en Mac OS sigue una línea de crecimiento que, si bien aún está lejos de la incidencia que tiene sobre otras plataformas como Windows, es cierto que crece en complejidad y número. Especialmente preocupante es la aparición de variantes de ransomware, un tipo de malware que apunta a convertirse en uno de los principales problemas a los que hacer frente en la batalla contra el cibercrimen. Afortunadamente, podemos decir que el malware para Mac OS, aun estando más evolucionado que en años atrás, resulta mucho más sencillo de detectar y eliminar que en otros sistemas. Para este cometido, las herramientas presentadas en este blog pueden resultar de gran ayuda.