Gelişmiş tehdit aktörleri, uygulama politikalarını atlamak ve Apple Silikon cihazlarına kötü amaçlı yazılım dağıtmak için X86-64 ikili ve Apple’ın Rosetta 2 çeviri teknolojisini giderek daha fazla kullanıyor.
Teknik, araştırmacıların saldırıları yeniden yapılandırmak için kullanabileceği adli eserleri geride bırakırken Intel ve ARM64 işlemcileri arasındaki mimari farklılıkları kullanıyor.
Apple Silikon’da X86-64 İkili’den yararlanan saldırganlar
2020’de MacOS Big Sur’da (11.0) tanıtılan Apple’ın Rosetta 2, x86-64 talimatlarını ARM64’e tam zamanında (JIT) ve zaman öncesi (AOT) derlemeye çeviriyor.
Kullanıcılar Apple Silikon’da bir X86-64 ikili başlattığında, sistem/var/db/oah/adresinde depolanan bir AOT dosyası oluşturur
Bu önbelleğe alınmış çeviriler, saldırganlar orijinal yükleri silse bile zaman damgalı yürütme kayıtları oluşturur.
Mantiant’ın araştırması, Kore Demokratik Halk Cumhuriyeti (DPRK) ile bağlantılı olanlar da dahil olmak üzere devlet destekli grupların, Rosetta 2’nin rahat kod imzalama gereksinimlerinden yararlanmak için x86-64 mimarileri için kasten kötü amaçlı yazılımları derlediğini ortaya koyuyor.
Geçerli Apple tarafından verilen imzalar veya katı noterleştirme kontrolleri gerektiren ARM64 ikili dosyalarının aksine, Rosetta 2 aracılığıyla tercüme edilen x86-64 yürütülebilir ürünler daha az kısıtlama ile karşı karşıya kalır ve saldırganların kendi kendine imzalanmış yükleri dağıtmasına izin verir.
Evrensel İkili ve İcra Zinciri Gizli
Saldırganlar, uyumluluğu en üst düzeye çıkarmak için hem x86-64 hem de ARM64 kodu içeren evrensel ikili dosyaları silahlandırır.
Rosetta 2 aracılığıyla başlatıldığında, bu yürütülebilir ürünler X86-64 dilimlerine göre varsayılan olarak, modern Apple Silikon cihazlarında bile AOT artefaktları oluşturur.
DPRK liderliğindeki bir kripto para birimi soygunda, Mantiant, birleşik kütüklerde ve fseventlerde adli parkurlar üreterek Rosetta 2 aracılığıyla sudo, chmod ve kedi gibi sistem kamu hizmetlerini yürütme sistemini gözlemledi:
Saldırganlar daha sonra orijinal kötü amaçlı yazılım ikilisini sildi, ancak/var/db/oah’a erişimi _OAHD sistem hesabına kısıtlayan Sistem Bütünlük Koruması (SIP) ile korunan AOT dosyalarını gözden kaçırdı.
Bu önbelleğe alınmış çeviriler, geri alınmamış yüklerden geliştirici ortam dizeleri de dahil olmak üzere kritik kanıtları korudu.
Saldırı tespit metodolojisi
Mendiant’ın metodolojisi, müdahaleleri tespit etmek için üç eser kaynağını birleştirir:
- AOT dosya meta verileri: Oluşturma zaman damgaları kötü amaçlı yazılım yürütme pencereleriyle ilişkilidir. Her AOT’nin ana dizini, orijinal ikili yol, Mach-O başlığı ve dosya sistemi meta verilerinden türetilmiş bir SHA-256 karma kullanır.
- FSEVENT’ler: Dosya Sistemi Günlükleri kayıt dizini oluşturma ve .in_progress dosya yeniden adlandırma işlemlerini, kötü amaçlı yazılım silinmesinden sonra bile.
- Birleşik Kütükler: Özel profillerle, araştırmacılar OAHD işlem günlüklerinde başka türlü düzeltilmiş ikili yolları ortaya çıkarabilir.
Özellikle, AOT dosyaları sembolleri ve kısmi kod yapısını korur ve analistlerin kötü niyetli işlevselliği tanımlamasını sağlar.
Bununla birlikte, gömülü konfigürasyonlar veya ağ göstergeleri gibi statik verileri atlarlar, orijinal ikili olmadan tam rekonstrüksiyonu sınırlarlar.
Hafifletme
Bu tehditlere karşı koymak için Mandiant şunları önerir:
- SIP’yi etkinleştirme: Rosetta 2’nin önbellek dizini ile kurcalamayı önler.
- FSEVENT’leri İzleme: Rapid .in_progress → .aot dosya geçişleri/var/db/oah.
- Özel Birleşik Günlük Profilleri: Yapılandırma profillerini kullanarak OAHD günlüklerinde özel alanların maskesini kaldırın.
- AOT Dosya Denetimleri: Zehirlenme girişimlerini tespit etmek için önbelleğe alınmış AOT dosyalarının SHA-256 karmalarını bilinen iyi Rosetta 2 çevirileri ile karşılaştırın.
Apple aşamalı Intel desteğini ortaya çıkardıkça, güvenlik topluluğu daha katı ARM64 kod imzalama gereksinimlerinin uygulanmasını öngörüyor.
Bununla birlikte, Mantiant, X86-64 ikili dosyalarının, eski yazılım bağımlılıkları nedeniyle yıllarca uygulanabilir bir saldırı vektörü olarak kalacağı konusunda uyarıyor.
Organizasyonlar, giderek daha karmaşıklaşan bir mimari saldırı çağındaki macOS saldırılarını tanımlamak ve düzeltmek için adli eser koleksiyonuna, özellikle Rosetta 2’nin AOT dosyalarına öncelik vermelidir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free