News OS X: Ransomware KeRanger infiziert Mac-Plattformen

[iSight2TheBlind]

@MOM2005
AntiUser fragt dich, wie eine heruntergeladene Anwendung die nicht ausgeführt wird es schaffen soll Skripte auszuführen die das Sicherheitsprogramm welches sie daran hindert ausgeführt zu werden zu umgehen. Um sich dann selbst zu starten!

Deine Antwort: Wenn man wie in deinem verlinkten Blogeintrag hier im Terminal dies eintippt oder oder die Datei manipuliert, DANN kann man als Nutzer die Datei mit einem Doppelklick starten.

Das klingt für mich nach "Ich bin ein manueller Virus: Tippe format :c in die Eingabeaufforderung ein und drücke Enter, Danke! Danach tu das bitte auch beim PC deiner Kollegen"...

 

[MOM2005]

@MOM2005
AntiUser fragt dich, wie eine heruntergeladene Anwendung die nicht ausgeführt wird es schaffen soll Skripte auszuführen die das Sicherheitsprogramm welches sie daran hindert ausgeführt zu werden zu umgehen. Um sich dann selbst zu starten!

hast du meinen letzten Beitrag auch zu ende gelesen? das mit dem script habe ich zurückgenommen. wenn ich eine Anwendung per ftp runterlade mit einem ftp client wie filezilla, dann ist diese von Gatekeeper befreit, weil das flag erst gar nicht gesetzt wird. wo nun ist also der Gatekeeper Schutz? sofern apple nicht auf protokollebene für jede art von download zwischenfunken kann ist das kein Schutz. oder gilt für die unbedarften Nutzer jetzt nur noch download per http mit web browser?

 

[maximus_hertus]

Hat schon seinen Grund wieso iOS derzeit das einzigste mobile OS ist, welches noch nicht geknackt ist.

Vollkommen falsch. Bitte belege deine Aussage auch nur mit einem Link, dass ein Windows Phone "geknackt" worden ist. Wenn du dir Zeit sparen möchtest, kann ich dir schon die Antwort geben: Du wirst nichts finden.

Natürlich hat es seine Gründe, warum sich WP nicht bei der großen Masse durchgesetzt hat. Sicherheitslücken waren aber nicht das Problem.

 

[dasnacht]

Vollkommen falsch.

Tjoa - ich antworte mal mit dem gleichen: Vollkommen falsch!

https://github.com/hackedteam/core-winphone Hier ist dein Link. Ähnliche Software fand sich für iOS beim Hackingteam Leak bisher nicht. - Hat mich übrigens 30 Sekunden bei Google gekostet.

 

[dMopp]

@MOM2005: Was willst du immer mit deinem Flag? Ist KEIN Flag gesetzt, wirst du sogar ganz aktiv gewarnt dass die Quelle nicht bestätigt ist.

Du willst uns also erzählen, dass wenn man
- Ein File per filezilla
- von einer dubiosen quelle
- ohne eigene prüfung
lädt und diese dann
- trotz Warnung des OS

öffnet, Gatekeeper keinen Schutz bietet? Stimmt, total Nutzlos das alles... (Und selbst dann kommt der Buildin Virenscan noch zum Einsatz, der mal von 0-day Viren/Trojanern/etc, das dann final abfängt)

PS: Ein Sicherheitsgurt bietet auch nur Schutz wenn man ihn anlegt und nen Airbag hilft dir bei 320km/h gegen die Wand auch nicht. Alles total nutzloser scheiß...

 

[cristianjarosch]

naja muss man sich nicht wundern dass da Schwachstellen ausgenutzt werden .. Es wurde ja mal bei heise als Tabelle dargestellt wie viele lücken OS X hat .. ihrendwas mit 375 Schwachstellen .. Also OS X ist auch nicht Sicherer als Windows was viele immer sagen .. Schwachsinn meiner Meinung nach .. Nur weil der Malware anteil bei OS X und ios weniger .. naja .. nix gegen Apple !

 

[MOM2005]

@MOM2005: Was willst du immer mit deinem Flag? Ist KEIN Flag gesetzt, wirst du sogar ganz aktiv gewarnt dass die Quelle nicht bestätigt ist.

eben nicht. lies https://maymay.net/blog/2015/05/09/...d-run-arbitrary-programs-as-a-non-admin-user/ da steht

With the quarantine extended attribute removed, the Mac OS X Finder never calls to Gatekeeper so double-clicking on the app will work as if Gatekeeper was disabled.

und dem ist auch so.

Du willst uns also erzählen, dass wenn man
- Ein File per filezilla
- von einer dubiosen quelle
- ohne eigene prüfung
lädt und diese dann
- trotz Warnung des OS

die ftp quelle ist minder dubios als eine http quelle. bspw. wäre ftp.adobe.com für dich dubios?

virustotal.com kann prüfen. ob was gefunden wird - glückssache

Warnung: wie schon erwähnt kommt keine Warnung, da das flag nicht existiert. glaub es oder lass es.

 

[Grantig]

Ähnliche Software fand sich für iOS beim Hackingteam Leak bisher nicht. - Hat mich übrigens 30 Sekunden bei Google gekostet.

https://github.com/hackedteam/core-ios

Btw. dass ein RCS Agent für ein System existiert heißt nicht dass es "geknackt" ist.
Die Frage ist nämlich trotzdem wie man es hinbekommt den Agent auf das System zu bekommen und auszuführen.

 

[dMopp]

MOM2005 warum ftp nutzen wenn es einen Download gibt? Weil man sich auskennt... dH der "Normalo" wird nie einen extra Client benutzen und ist somit außen vor. Rede dir weiterhin Probleme ein die nicht existieren ...

 

[MOM2005]

MOM2005 warum ftp nutzen wenn es einen Download gibt? Weil man sich auskennt... dH der "Normalo" wird nie einen extra Client benutzen und ist somit außen vor. Rede dir weiterhin Probleme ein die nicht existieren ...

selbiges gilt für Bittorrent, jdownloader was auch immer. nutzt das auch keiner? nochmal entweder ich hab ein sicherheitsfeature das alles abdeckt oder ich lass es. ist deine Garage jetzt sicherer nur weil das tor zu 75% schliesst und dennoch ein spalt zum reinkriechen offen bleibt?

fakt ist nun mal - und das werden dir jede menge an Leute bestätigen können, die sich mit computer security professionell auseinander setzen, dass der mac vieles ist, nur halt nicht wirklich sicher. Ansätze sind vorhanden, nur halt nie wirklich zu ende gedacht oder implementiert.

 

[AntiUser]

die ftp quelle ist minder dubios als eine http quelle. bspw. wäre ftp.adobe.com für dich dubios?

Wir entfernen uns von der eigentlichen Frage und vom Thema, nämlich den Bösewicht der etwas verschlüsselt.

Noch mal meine Frage, die immer noch unbeantwortet ist. Wie kann die hier beschriebene Schadware das von dir beschriebene Skript ausführen?

Woher die Schwadware kommt ist doch für deine ursprüngliche Aussage völlig unerheblich. Wenn Sie das von dir beschriebe Attribut hat, wird sie an der Ausführung irgendwelcher Dinge gehindert. Wie kann diese dann das Skript ausführen?

 

[MOM2005]

@antiuser

ich geb auf du hast gewonnen. Gatekeeper ist das sicherheitsfeature non plus ultra und kann durch externe Schadsoftware und Skripts nicht deaktiviert werden. sämtliche links zum deaktivieren und umgehen von Gatekeeper im netz sind natürlich alles lüge und jeder der daran zweifelt ist ein idiot. genauso wie apple in der Vergangenheit immer wieder bewiesen hat, dass sie 100% fehlerfreien code produzieren und ihr system das beste und sicherste der Welt ist.

in diesem sinne schönen tag noch

 

[Grantig]

Wenn Sie das von dir beschriebe Attribut hat, wird sie an der Ausführung irgendwelcher Dinge gehindert. Wie kann diese dann das Skript ausführen?

Ganz einfach: du bringst den Nutzer dazu es auszuführen (wie in diesem Fall geschehen).
Was bringt dir denn die lausige Warnung von Gatekeeper wenn der Nutzer sie einfach ignoriert?

Auch unter Windows gibts SmartScreen, das vor gefährlichen Downloads warnt und heruntergeladene Dateien bekommen ein "untrusted" Flag das die Ausführung verhindert.
Das bringt aber alles nix, wenns vom User ignoriert oder einfach komplett deaktiviert wird.

Gatekeeper ist kein Allheilmittel, signierte Anwendungen auch nicht. Es gibt einfach kein Allheilmittel.

 

[AntiUser]

Gatekeeper ist das sicherheitsfeature non plus ultra und kann durch externe Schadsoftware und Skripts nicht deaktiviert werden.

Über die Brücke, dass es das "non plus ultra" ist würde ich nicht gehen. Aber zumindest haben die jetzt den von mir angesprochen Punkt geklärt. Richtig ist, dass die entsprechende Software die Funktion nicht deaktivieren kann durch das von dir genannte Skript. Noch mein dein urprüngliches Kommentar:

und meinst ein script bekommt kein xattr -c hin?

Nein! Ein Script der hier beschriebenen Software bekommt es natürlich NICHT hin! Wie auch? Es kann ja nicht starten ...

Dann können wir uns ja endlich den nächsten Punkten widmen:

wenn ich eine Anwendung per ftp runterlade mit einem ftp client wie filezilla, dann ist diese von Gatekeeper befreit, weil das flag erst gar nicht gesetzt wird. wo nun ist also der Gatekeeper Schutz? sofern apple nicht auf protokollebene für jede art von download zwischenfunken kann ist das kein Schutz. oder gilt für die unbedarften Nutzer jetzt nur noch download per http mit web browser?

Das Verhalten vom Gatekeeper ist leider wirklich so. Das konnte ich bei meinen Prüfungen vor Jahren unter OS 10.7 schon feststellen. Leider wurde seit dem der GK nicht wirklich optimiert. Ein Punkt der absolut zu bemäkel ist.

Meines erachtens wurde der GK genau für einen Einsatzzweck geschaffen. Schadsoftware wie die hier beschriebene am starten zu hindern. Das kannst du leider mit geklauten Zertifikaten umgehen. Die Sicherheitsarchitektur von OS X ist, absolut verbesserungswürde. Es wurde einfach zu lange nichts mehr gemacht. Die letzten großen Änderungen kamen nach einem Bösewicht, der 600.000 Mac befallen hatte. Seit dem ist es ziemlich ruhig geworden.

Leider gottes sind die konkurierenden Systeme noch schlechter ...

 

[MOM2005]

@AntiUser

und scheinbar gibt es auch Bypass für http downloads.

keine Ahnung ob das hier --> http://www.symantec.com/connect/blogs/apple-s-gatekeeper-mac-os-x-vulnerable-simple-bypass schon effektiv geschlossen ist.

 

[Cool Master]

Ne wie will man das auch beheben wenn externe Resourcen geladen werden? Die einzige Möglichkeit wäre wirklich nur noch alles in der App auszuliefern (was ich gut heißen würde).

 

[wahlmeister]

Fassen wir das ganze doch noch mal simpel zusammen: Es ist ein Trojaner der nur beim betreffenden user schaden anrichten kann. Trojaner sind kein Problem das man lösen kann. Es wird immer Programme geben die was anderes machen als sie vorgeben. Nur im Gegensatz zu Windows kann sich der Trojaner nicht Systemweit einnisten und alles vernichten weil ihm die Rechte fehlen. Die Diskussion um Gatekeeper ist sinnfrei, es gibt genug Software die unsigniert ist und ausgeführt werden kann. Ein System das nicht von Trojanern angegriffen werden kann gibt es nicht, ausser es wäre so restriktiv das bei jedem Schreibvorgang auf eine Datei des Nutzers eine Bestätigung erfolgen müsste. Das wäre einfach nur meganervig im Alltag. Oder es würde nur Software aus dem Appstore erlaubt. Das will aber auch keiner.

 

[oroehrer]

Nur im Gegensatz zu Windows kann sich der Trojaner nicht Systemweit einnisten

Seit Windows 2000 basiert Windows auf NT und hat eine einwandfreie Rechteverwaltung. Seit Windows Vista (2007) wird selbst ein Administrator aufgefordert, systemweite Änderungen per UAC zu bestätigen.

Dass User diese Warnhinweise ignorieren oder gar ganz abschalten, ist nun kein Mangel von Windows.

 

[KlaasKersting]

Nur im Gegensatz zu Windows kann sich der Trojaner nicht Systemweit einnisten und alles vernichten weil ihm die Rechte fehlen.

Was im Falle von Ransomware vollkommen irrelevant ist.
Niemand möchte irgendwelche Systemverzeichnisse verschlüsseln, das Ziel sind Userdaten.
Mit verschlüsselten Windows-dlls verdient man ja auch kein Geld.

 

[grossernagus]

Nur im Gegensatz zu Windows kann sich der Trojaner nicht Systemweit einnisten und alles vernichten weil ihm die Rechte fehlen..

Glaubst du deine Lügen eigentlich selbst, oder weißt du es tatsächlich nicht besser?
Dein Profilbild sagt ja eigentlich schon alles. Dieser extrem hässliche Kasten.

Windows 98 ist echt schon lange Jahre her. Möglicherweise hat der Rechner in OSX einen Fehler.