WhiteIntel

WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares stealers.

O principal objetivo do WhiteIntel é combater invasões de contas e ataques de ransomware resultantes de malwares que roubam informações.

Você pode verificar o site deles e experimentar o mecanismo gratuitamente em:

WhiteIntel

Análise Estática

otool

otool -L /bin/ls #List dynamically linked libraries
otool -tv /bin/ps #Decompile application

objdump

objdump -m --dylibs-used /bin/ls #List dynamically linked libraries
objdump -m -h /bin/ls # Get headers information
objdump -m --syms /bin/ls # Check if the symbol table exists to get function names
objdump -m --full-contents /bin/ls # Dump every section
objdump -d /bin/ls # Dissasemble the binary
objdump --disassemble-symbols=_hello --x86-asm-syntax=intel toolsdemo #Disassemble a function using intel flavour

jtool2

A ferramenta pode ser usada como um substituto para codesign, otool e objdump, e fornece algumas funcionalidades adicionais. Baixe-a aqui ou instale com brew.

# Install
brew install --cask jtool2

jtool2 -l /bin/ls # Get commands (headers)
jtool2 -L /bin/ls # Get libraries
jtool2 -S /bin/ls # Get symbol info
jtool2 -d /bin/ls # Dump binary
jtool2 -D /bin/ls # Decompile binary

# Get signature information
ARCH=x86_64 jtool2 --sig /System/Applications/Automator.app/Contents/MacOS/Automator

# Get MIG information
jtool2 -d __DATA.__const myipc_server | grep MIG

Codesign / ldid

# Get signer
codesign -vv -d /bin/ls 2>&1 | grep -E "Authority|TeamIdentifier"

# Check if the app’s contents have been modified
codesign --verify --verbose /Applications/Safari.app

# Get entitlements from the binary
codesign -d --entitlements :- /System/Applications/Automator.app # Check the TCC perms

# Check if the signature is valid
spctl --assess --verbose /Applications/Safari.app

# Sign a binary
codesign -s <cert-name-keychain> toolsdemo

# Get signature info
ldid -h <binary>

# Get entitlements
ldid -e <binary>

# Change entilements
## /tmp/entl.xml is a XML file with the new entitlements to add
ldid -S/tmp/entl.xml <binary>

SuspiciousPackage

SuspiciousPackage é uma ferramenta útil para inspecionar arquivos .pkg (instaladores) e ver o que está dentro antes de instalá-los. Esses instaladores possuem scripts bash preinstall e postinstall que os autores de malware geralmente abusam para persistir o malware.

hdiutil

Esta ferramenta permite montar imagens de disco da Apple (.dmg) para inspecioná-las antes de executar qualquer coisa:

hdiutil attach ~/Downloads/Firefox\ 58.0.2.dmg

Será montado em /Volumes

Objective-C

Metadados

• A classe

• Os métodos da classe

• As variáveis de instância da classe

Você pode obter essas informações usando class-dump:

class-dump Kindle.app

Chamada de Função

Quando uma função é chamada em um binário que usa Objective-C, o código compilado, em vez de chamar essa função, irá chamar objc_msgSend. Que irá chamar a função final:

Os parâmetros que essa função espera são:

• O primeiro parâmetro (self) é "um ponteiro que aponta para a instância da classe que irá receber a mensagem". Ou de forma mais simples, é o objeto no qual o método está sendo invocado. Se o método for um método de classe, isso será uma instância do objeto da classe (como um todo), enquanto que para um método de instância, self apontará para uma instância instanciada da classe como um objeto.

• O segundo parâmetro, (op), é "o seletor do método que manipula a mensagem". Novamente, de forma mais simples, este é apenas o nome do método.

• Os parâmetros restantes são quaisquer valores necessários pelo método (op).

Veja como obter essas informações facilmente com lldb em ARM64 nesta página:

x64:

Swift

Com binários Swift, como há compatibilidade com Objective-C, às vezes é possível extrair declarações usando class-dump, mas nem sempre.

Com os comandos de linha jtool -l ou otool -l é possível encontrar várias seções que começam com o prefixo __swift5:

jtool2 -l /Applications/Stocks.app/Contents/MacOS/Stocks
LC 00: LC_SEGMENT_64              Mem: 0x000000000-0x100000000    __PAGEZERO
LC 01: LC_SEGMENT_64              Mem: 0x100000000-0x100028000    __TEXT
[...]
Mem: 0x100026630-0x100026d54        __TEXT.__swift5_typeref
Mem: 0x100026d60-0x100027061        __TEXT.__swift5_reflstr
Mem: 0x100027064-0x1000274cc        __TEXT.__swift5_fieldmd
Mem: 0x1000274cc-0x100027608        __TEXT.__swift5_capture
[...]

Pode encontrar mais informações sobre a informação armazenada nesta seção neste post do blog.

Além disso, os binários Swift podem ter símbolos (por exemplo, bibliotecas precisam armazenar símbolos para que suas funções possam ser chamadas). Os símbolos geralmente têm informações sobre o nome da função e atributos de uma maneira feia, então eles são muito úteis e existem "demanglers" que podem obter o nome original:

# Ghidra plugin
https://github.com/ghidraninja/ghidra_scripts/blob/master/swift_demangler.py

# Swift cli
swift demangle

Binários compactados

• Verificar alta entropia

• Verificar as strings (se há quase nenhuma string compreensível, compactado)

• O empacotador UPX para MacOS gera uma seção chamada "__XHDR"

Análise Dinâmica

Logs Unificados

O MacOS gera muitos logs que podem ser muito úteis ao executar um aplicativo tentando entender o que ele está fazendo.

Além disso, existem alguns logs que conterão a tag <private> para ocultar algumas informações identificáveis do usuário ou do computador. No entanto, é possível instalar um certificado para divulgar essas informações. Siga as explicações de aqui.

Hopper

Painel esquerdo

No painel esquerdo do Hopper, é possível ver os símbolos (Labels) do binário, a lista de procedimentos e funções (Proc) e as strings (Str). Essas não são todas as strings, mas as definidas em várias partes do arquivo Mac-O (como cstring ou objc_methname).

Painel central

No painel central, você pode ver o código desmontado. E você pode vê-lo como um desmonte bruto, como gráfico, como decompilado e como binário clicando no ícone respectivo:

Ao clicar com o botão direito em um objeto de código, você pode ver referências para/de esse objeto ou até mesmo alterar seu nome (isso não funciona no pseudocódigo decompilado):

Além disso, no meio inferior, você pode escrever comandos python.

Painel direito

No painel direito, você pode ver informações interessantes, como o histórico de navegação (para saber como você chegou à situação atual), o grafo de chamadas onde você pode ver todas as funções que chamam essa função e todas as funções que essa função chama, e informações sobre variáveis locais.

dtrace

Ele permite aos usuários acessar aplicativos em um nível extremamente baixo e fornece uma maneira para os usuários rastrearem programas e até mesmo alterarem seu fluxo de execução. O Dtrace usa sondas que são colocadas em todo o kernel e estão em locais como o início e o fim das chamadas de sistema.

O DTrace usa a função dtrace_probe_create para criar uma sonda para cada chamada de sistema. Essas sondas podem ser acionadas no ponto de entrada e saída de cada chamada de sistema. A interação com o DTrace ocorre através do /dev/dtrace, que está disponível apenas para o usuário root.

As sondas disponíveis do dtrace podem ser obtidas com:

dtrace -l | head
ID   PROVIDER            MODULE                          FUNCTION NAME
1     dtrace                                                     BEGIN
2     dtrace                                                     END
3     dtrace                                                     ERROR
43    profile                                                     profile-97
44    profile                                                     profile-199

O nome da sonda consiste em quatro partes: o provedor, módulo, função e nome (fbt:mach_kernel:ptrace:entry). Se você não especificar alguma parte do nome, o Dtrace aplicará essa parte como um caractere curinga.

Para configurar o DTrace para ativar sondas e especificar quais ações executar quando elas dispararem, precisaremos usar a linguagem D.

Uma explicação mais detalhada e mais exemplos podem ser encontrados em https://illumos.org/books/dtrace/chp-intro.html

Exemplos

Execute man -k dtrace para listar os scripts DTrace disponíveis. Exemplo: sudo dtruss -n binary

• Em linha

#Count the number of syscalls of each running process
sudo dtrace -n 'syscall:::entry {@[execname] = count()}'

• script

syscall:::entry
/pid == $1/
{
}

#Log every syscall of a PID
sudo dtrace -s script.d 1234

syscall::open:entry
{
printf("%s(%s)", probefunc, copyinstr(arg0));
}
syscall::close:entry
{
printf("%s(%d)\n", probefunc, arg0);
}

#Log files opened and closed by a process
sudo dtrace -s b.d -c "cat /etc/hosts"

syscall:::entry
{
;
}
syscall:::return
{
printf("=%d\n", arg1);
}

#Log sys calls with values
sudo dtrace -s syscalls_info.d -c "cat /etc/hosts"

dtruss

dtruss -c ls #Get syscalls of ls
dtruss -c -p 1000 #get syscalls of PID 1000

ktrace

Você pode usar este mesmo com o SIP ativado

ktrace trace -s -S -t c -c ls | grep "ls("

ProcessMonitor

ProcessMonitor é uma ferramenta muito útil para verificar as ações relacionadas a processos que um processo está realizando (por exemplo, monitorar quais novos processos um processo está criando).

SpriteTree

SpriteTree é uma ferramenta que imprime as relações entre processos. Você precisa monitorar seu Mac com um comando como sudo eslogger fork exec rename create > cap.json (o terminal que inicia isso requer FDA). E então você pode carregar o json nesta ferramenta para visualizar todas as relações:

FileMonitor

FileMonitor permite monitorar eventos de arquivos (como criação, modificações e exclusões) fornecendo informações detalhadas sobre tais eventos.

Crescendo

Crescendo é uma ferramenta GUI com a aparência e sensação que os usuários do Windows podem conhecer do Procmon da Microsoft Sysinternal. Esta ferramenta permite iniciar e parar a gravação de vários tipos de eventos, permite filtrar esses eventos por categorias como arquivo, processo, rede, etc., e fornece a funcionalidade de salvar os eventos gravados em um formato json.

Apple Instruments

Apple Instruments fazem parte das ferramentas de desenvolvedor do Xcode - usadas para monitorar o desempenho do aplicativo, identificar vazamentos de memória e rastrear a atividade do sistema de arquivos.

fs_usage

Permite seguir as ações realizadas por processos:

fs_usage -w -f filesys ls #This tracks filesystem actions of proccess names containing ls
fs_usage -w -f network curl #This tracks network actions

TaskExplorer

Taskexplorer é útil para ver as bibliotecas usadas por um binário, os arquivos que ele está usando e as conexões de rede. Também verifica os processos binários no virustotal e mostra informações sobre o binário.

PT_DENY_ATTACH

Neste post do blog você pode encontrar um exemplo de como depurar um daemon em execução que usava PT_DENY_ATTACH para evitar a depuração, mesmo que o SIP estivesse desativado.

lldb

lldb é a ferramenta de fato para depuração de binários macOS.

lldb ./malware.bin
lldb -p 1122
lldb -n malware.bin
lldb -n malware.bin --waitfor

Você pode definir o sabor intel ao usar o lldb criando um arquivo chamado .lldbinit em sua pasta pessoal com a seguinte linha:

settings set target.x86-disassembly-flavor intel

Anti-Análise Dinâmica

Detecção de VM

• O comando sysctl hw.model retorna "Mac" quando o host é um MacOS mas algo diferente quando é uma VM.

• Manipulando os valores de hw.logicalcpu e hw.physicalcpu alguns malwares tentam detectar se é uma VM.

• Alguns malwares também podem detectar se a máquina é baseada em VMware com base no endereço MAC (00:50:56).

• Também é possível descobrir se um processo está sendo depurado com um código simples como:

• if(P_TRACED == (info.kp_proc.p_flag & P_TRACED)){ //processo sendo depurado }

• Também pode invocar a chamada de sistema ptrace com a flag PT_DENY_ATTACH. Isso impede um debugger de anexar e rastrear.

• Você pode verificar se a função sysctl ou ptrace está sendo importada (mas o malware poderia importá-la dinamicamente)

• Conforme observado neste artigo, “Derrotando Técnicas Anti-Depuração: variantes de ptrace no macOS” : “A mensagem Processo # saiu com status = 45 (0x0000002d) geralmente é um sinal revelador de que o alvo de depuração está usando PT_DENY_ATTACH”

Fuzzing

ReportCrash

O ReportCrash analisa processos que estão a falhar e guarda um relatório de falha no disco. Um relatório de falha contém informações que podem ajudar um programador a diagnosticar a causa de uma falha. Para aplicações e outros processos a correr no contexto de lançamento por utilizador, o ReportCrash é executado como um LaunchAgent e guarda os relatórios de falha na pasta ~/Library/Logs/DiagnosticReports/ do utilizador. Para daemons, outros processos a correr no contexto de lançamento do sistema e outros processos privilegiados, o ReportCrash é executado como um LaunchDaemon e guarda os relatórios de falha na pasta /Library/Logs/DiagnosticReports do sistema.

Se estiver preocupado com os relatórios de falha a serem enviados para a Apple, pode desativá-los. Caso contrário, os relatórios de falha podem ser úteis para descobrir como um servidor falhou.

#To disable crash reporting:
launchctl unload -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist
sudo launchctl unload -w /System/Library/LaunchDaemons/com.apple.ReportCrash.Root.plist

#To re-enable crash reporting:
launchctl load -w /System/Library/LaunchAgents/com.apple.ReportCrash.plist
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.ReportCrash.Root.plist

Sono

Durante o fuzzing em um MacOS, é importante não permitir que o Mac entre em modo de sono:

• systemsetup -setsleep Never

• pmset, Preferências do Sistema

• KeepingYouAwake

Desconexão SSH

Se estiver fazendo fuzzing via uma conexão SSH, é importante garantir que a sessão não seja encerrada. Portanto, altere o arquivo sshd_config com:

• TCPKeepAlive Yes

• ClientAliveInterval 0

• ClientAliveCountMax 0

sudo launchctl unload /System/Library/LaunchDaemons/ssh.plist
sudo launchctl load -w /System/Library/LaunchDaemons/ssh.plist

Manipuladores Internos

Confira a seguinte página para descobrir como você pode encontrar qual aplicativo é responsável por manipular o esquema ou protocolo especificado:

Enumerando Processos de Rede

Isso é interessante para encontrar processos que estão gerenciando dados de rede:

dtrace -n 'syscall::recv*:entry { printf("-> %s (pid=%d)", execname, pid); }' >> recv.log
#wait some time
sort -u recv.log > procs.txt
cat procs.txt

Ou use netstat ou lsof

Libgmalloc

lldb -o "target create `which some-binary`" -o "settings set target.env-vars DYLD_INSERT_LIBRARIES=/usr/lib/libgmalloc.dylib" -o "run arg1 arg2" -o "bt" -o "reg read" -o "dis -s \$pc-32 -c 24 -m -F intel" -o "quit"

Fuzzers

AFL++

Funciona para ferramentas de linha de comando

Litefuzz

Ele "simplesmente funciona" com ferramentas GUI do macOS. Note que alguns aplicativos do macOS têm requisitos específicos como nomes de arquivos únicos, a extensão correta, precisam ler os arquivos do sandbox (~/Library/Containers/com.apple.Safari/Data)...

Alguns exemplos:

# iBooks
litefuzz -l -c "/System/Applications/Books.app/Contents/MacOS/Books FUZZ" -i files/epub -o crashes/ibooks -t /Users/test/Library/Containers/com.apple.iBooksX/Data/tmp -x 10 -n 100000 -ez

# -l : Local
# -c : cmdline with FUZZ word (if not stdin is used)
# -i : input directory or file
# -o : Dir to output crashes
# -t : Dir to output runtime fuzzing artifacts
# -x : Tmeout for the run (default is 1)
# -n : Num of fuzzing iterations (default is 1)
# -e : enable second round fuzzing where any crashes found are reused as inputs
# -z : enable malloc debug helpers

# Font Book
litefuzz -l -c "/System/Applications/Font Book.app/Contents/MacOS/Font Book FUZZ" -i input/fonts -o crashes/font-book -x 2 -n 500000 -ez

# smbutil (using pcap capture)
litefuzz -lk -c "smbutil view smb://localhost:4455" -a tcp://localhost:4455 -i input/mac-smb-resp -p -n 100000 -z

# screensharingd (using pcap capture)
litefuzz -s -a tcp://localhost:5900 -i input/screenshared-session --reportcrash screensharingd -p -n 100000

Mais Informações sobre Fuzzing no MacOS

• https://www.youtube.com/watch?v=T5xfL9tEg44

• https://github.com/bnagy/slides/blob/master/OSXScale.pdf

• https://github.com/bnagy/francis/tree/master/exploitaben

• https://github.com/ant4g0nist/crashwrangler

Referências

• OS X Incident Response: Scripting and Analysis

• https://www.youtube.com/watch?v=T5xfL9tEg44

• https://taomm.org/vol1/analysis.html

• The Art of Mac Malware: The Guide to Analyzing Malicious Software

WhiteIntel

WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares de roubo de informações.

O principal objetivo do WhiteIntel é combater tomadas de contas e ataques de ransomware resultantes de malwares que roubam informações.

Você pode acessar o site deles e experimentar o mecanismo gratuitamente em:

WhiteIntel