Primer troyano para MAC que detecta la virtualización


Desde el blog de F-Secure alertan de la aparición del primer troyano para Mac (Mac Trojan Flashback.B Checks for VM) que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado.





El hecho de que el malware compruebe si se está ejecutando en un entorno de virtualización no es nada nuevo. Es una técnica que viene siendo utilizada desde hace años por gran cantidad de malware. Esto tiene un claro objetivo: los que analizamos malware solemos ejecutarlo en un entorno virtual, que permite aislar los efectos y poder volver rápidamente a un entorno "limpio" restaurando a un estado anterior.

Existen infinitas técnicas para comprobar si se está en una máquina virtual, y se ha convertido casi en un arte: buscar procesos característicos, ficheros, drivers que suelen venir en los virtualizadores más populares... Los troyanos realizan una comprobación nada más ser ejecutados y, si los detectan, no continúan. Los analistas debemos entonces o bien pasar a un entorno físico, intentar conocer qué buscan e intentar engañarlos, o bien utilizar software de virtualización menos popular (evitar VirtualBox o VMWare).

También el malware utiliza la detección de máquinas virtuales para eludir los análisis automáticos que suelen realizar sandboxes públicas que se encuentran automatizadas.

Si bien es un método antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple. Como viene siendo habitual, los avances técnicos de los creadores de malware suelen estar enfocados hacia evitar a los analistas "manuales". De entre sus "enemigos", son los más "peligrosos" para ellos. Desde luego, el usuario final no le supone tanto problema por ahora. Con la ingeniería social le basta y no le hacen falta
artificios técnicos. En el caso de Mac, su enemigo más fuerte tampoco son los antivirus ni necesita esforzarse demasiado por eludirlos.

La muestra analizada por F-Secure en concreto, se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar que está siendo ejecutando sobre una máquina virtual, detiene por completo su ejecución. Por el momento, la única máquina virtual que sobre la que se comprueba si está corriendo es VMWare.

Existen numerosos métodos para comprobar si se está en un entorno virtual. Se puede encontrar información en la propia página de VMWare, con sus pros y sus contras:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458

En este caso en concreto no se utiliza ninguna de las técnicas descritas en la web de VMWare, muy posiblemente porque no funcionan en el 100% de los casos. Este troyano en cuestión recurre a un método descubierto por el investigador Ken Kato, que consiste en interactuar con un puerto de Entrada/Salida (puerto 'VX') que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.

Más información:

Mac Trojan Flashback.B Checks for VM
http://www.f-secure.com/weblog/archives/00002251.html

Fuente:
Sergio de los Santos
http://www.hispasec.com
Twitter: @ssantosv



Otras noticias de interés:

Recopilación y análisis de las últimas vulnerabilidades en Microsoft Office
Desde hace más de seis meses, la suite Microsoft Office se está convirtiendo en uno de los métodos favoritos de los atacantes para ejecutar código arbitrario de forma inadvertida en sus víctimas. De la última oleada de problemas encontrad...
Adobe lanza 13 parches de seguridad
En lo que supone el primer boletín de seguridad programado de Adobe la compañía soluciona hasta 13 vulnerabilidades de Reader y Acrobat....
Microsoft corrige problema con SVCHOST.EXE
Microsoft publicó una actualización para un problema provocado por otra actualización anterior que corregía un error similar. Concretamente bajo determinadas circunstancias, SVCHOST.EXE puede consumir el 100 por ciento de los recursos del pro...
Salto de restricciones en McAfee Firewall
Un fallo localizado en el código responsable de la autenticación de los usuarios de McAfee Firewall Reporter, concretamente en el archivo: GernalUtilities.pm, podría permitir a un atacante remoto evadir las restricciones de seguridad y tomar el co...
Vulnerabilidades en Tiny Personal Firewall version 3.0
Tiny Personal Firewall es un cortafuegos muy conocido que personalmente he usado bastantes veces con excelentes resultados. Algunos expertos incluso lo ubican por encima de ZoneAlarm en cuanto a capacidad para repeler ataques. Tiny Personal ...
Múltiples navegadores vulnerables a ataques XSS
Una vulnerabilidad del tipo XSS (cross-site scripting), ha sido reportada en múltiples navegadores. La misma puede ser explotada por atacantes remotos para ejecutar scripts (archivos de comandos), de forma arbitraria....
7 parches de Microsoft Windows para el día 14/02/2006
Microsoft, como de costumbre, ha publicado una nota para adelantar lo que supondrá su actualización mensual de febrero. A grandes rasgos, anuncia que el martes día 14 publicará siete parches de seguridad que ...
Recopilado 35 millones de perfiles a través de Google sin traba alguna
En un mes este estudiante universitario holandés de nombre Google. Matthijs R. Koot, se montó una base de datos con información personal extraída de 35 millones de perfiles de cuenta, ha demostrado con su experimento la facilidad con la que cualq...
Microsoft anuncia más parches para el próximo martes
Además de la actualización de seguridad publicada de forma adelantada la semana pasada, Microsoft anunció para el próximo martes 10 de abril, 5 nuevos boletines. ...
< CUIDADO > - HACKER TRAIDOR!
El hombre responsable de transmitir el virus Melissa -un virus informático que provocó daños por más de 80 millones de dólares en 1999- ayudó al FBI a capturar a varios hackers internacionales de primer nivel. Documentos judicial...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • detecta
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • mac
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • primer
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyano
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virtualizacion
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra