Один из исследователей в области компьютерной безопасности обнаружил новый
способ внедрения вредоносного кода непосредственно в оперативную память
компьютеров, работающих под управлением OS X, что значительно затрудняет
обнаружение атаки на Mac с помощью доступных на сегодня инструментов анализа.
Методика, которую итальянский студент Винченцо Иоццо планирует осветить в
ходе открывающейся в следующем месяце конференции Black Hat, позволяет проводить
на Mac такие атаки, которые до этого момента были неосуществимы. Внедрение кода
в оперативную память позволит неавторизованному приложению устанавливать себя в
Mac не оставляя при этом следов выполнения кода атаки и других признаков того,
что компьютер скомпрометирован.
В отличие от большинства известных атак, метод Иоццо позволяет выполнить
бинарный код полностью внутри приложения или процесса. Это значит, что для
проведения атаки открывать новый процесс и получать доступ к жесткому диску не
потребуется. По словам эксперта, рандомизацию адресного пространства в OS X
можно обойти, поскольку загрузчик динамических библиотек всегда расположен по
одному и тому же адресу и позволяет предсказать, где расположены необходимые для
осуществления атаки библиотеки.
Чтобы окончательно расставить все по местам, уточним, что для успешного
осуществления атаки хакеру потребуется стопроцентно рабочий эксплоит
непропатченной уязвимости в OS X, iTunes, Safari или еще каком-либо приложении
для OS X. Данная методика не сделает проникновение более легким, она лишь
поможет скрыть следы нападения. Кроме этого, даже такой способ не может
считаться полностью необнаруживаемым, поскольку у исследователей всегда
сохраняется возможность сделать полный дамп памяти или выявить атаку при помощи
утилит мониторинга вторжений.
