Según comentaba Wardle, él se encontraba muy preocupado por el hecho de que no sabía a ciencia cierta lo que se estaba ejecutando de forma automática en su equipo, o si había cualquier tipo de malware persistente en su equipo. La herramienta Knock Knock debe mostrar todo lo que se ejecuta automáticamente cuando se arranca el sistema o se reinicia.
Figura 1: Diseño de Knock Knock
Como curiosidad, en la presentación cuenta que cuando Wardle llevó a cabo las pruebas de la herramienta en los Mac de diversos amigos, cuando la mayor sorpresa es que en estos equipos él se encontró diverso software malicioso que era ejecutado al arrancar el sistema. Para él como para muchos expertos en seguridad, un sistema OSX totalmente parcheado no es del todo seguro, y los mecanismos antimalware son insuficientes para defender un equipo. En este vídeo podéis ver la conferencia completa.
Figura 2: Conferencia sobre Methods of Malware Persistence on OS X
En su presentación ha mostrado un ejemplo en el cual se detecta un malware persistente simplemente cuando se enumeran todos los binarios no firmados por Apple, enseñando lo fácil que es localizar ahí los binarios que ya están en las bases de conocimiento que se tiene sobre malware para OS X. Knock Knock dispondrá de diversos plugins para poder añadirse y acoplar nuevo código con el que explorar en busca de nuevas técnicas de persistencia para mantenerlo al día de las amenazas y para analizar automáticamente los binarios sospechosos. De esta forma, cualquiera puede ayudar a mejorar la herramienta y potenciar las vías para luchar contra el malware en OS X.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...