Nota: Este es un tema avanzado dirigido a usuarios expertos de Mac. Las Mac generalmente se consideran seguras, al menos en comparación con el mundo alternativo de Windows. Pero la realidad es que, si bien las Mac son generalmente más seguras que Windows, todavía existe un potencial legítimo de que el malware llegue a Mac OS X, a pesar de GateKeeper, XProtect, sandboxing y firma de código.

Eso es lo que explica muy bien esta excelente presentación de Patrick Wardle, director de investigación de Synack, un proveedor de soluciones de seguridad cibernética, que ofrece una mirada cuidadosa y detallada de las implementaciones de seguridad actuales integradas en Mac OS X. , y cómo podrían eludirse mediante intentos maliciosos de atacar una Mac.

Además, la descripción general de Synack va más allá y proporciona una secuencia de comandos de código abierto llamada KnockKnock, que muestra todos los archivos binarios de Mac OS X que están configurados para ejecutarse al arrancar el sistema, lo que podría ayudar a los usuarios avanzados a examinar y verificar si hay algo Shady se ejecuta en una Mac.

El excelente documento, titulado “MÉTODOS de PERSISTENCIA DEL MALWARE en OS X”, se divide en cinco partes principales:

• Antecedentes de los métodos de protección integrados de Mac OS X, incluidos GateKeeper, Xprotect, sandboxing y firma de código
• Comprensión del proceso de arranque de Mac, desde el firmware hasta Mac OS X
• Métodos para hacer que el código se ejecute de forma persistente al reiniciar y al iniciar sesión del usuario, incluidas las extensiones del núcleo, los demonios de lanzamiento, los trabajos cron, los elementos iniciados y de inicio e inicio de sesión
• Ejemplos específicos de malware para Mac OS X y cómo funcionan, incluidos Flashback, Crisis, Janicab, Yontoo y productos antivirus maliciosos
• KnockKnock: una utilidad de código abierto que busca binarios dudosos, comandos, extensiones de kernel, etc., que pueden ayudar a los usuarios avanzados en la detección y protección

En caso de que no fuera ya obvio; todo esto es bastante avanzado, dirigido a usuarios expertos e individuos en la industria de la seguridad. El usuario promedio de Mac no es el público objetivo de esta presentación, documento o herramienta KnockKnock (pero pueden seguir algunos consejos generales para la protección contra malware de Mac).

Este es un documento técnico que describe algunos vectores de ataque potenciales muy específicos y posibles amenazas entrantes a Mac OS X, está realmente dirigido a usuarios avanzados de Mac, trabajadores de TI, investigadores de seguridad, administradores de sistemas y desarrolladores que desea comprender mejor los riesgos que se le presentan a Mac OS X y aprender formas de detectar, proteger y protegerse contra esos riesgos.

La presentación completa de Synack Malware tiene 56 páginas detalladas en un archivo PDF de 18 MB.

Además, el script de Python KnockKnock está disponible en GitHub para su uso y exploración.

Ambos valen la pena para los usuarios avanzados de Mac que buscan comprender mejor los riesgos de Mac OS X, ¡compártelos!