終于輪到你：蘋果Mac OS X系統被發現存在DLL劫持漏洞

DLL劫持從2000年就一直開始困擾著Windows系統，而現在這種攻擊方式也在大多人眼中“最安全的操作系統”——蘋果Mac OS X上出現了。

本周，Synack的研究員Patrick Wardle在溫哥華舉行的CanSecWest的會議上做了一個演講，他詳細解釋了入侵Mac OS X動態庫的細節：持久、過程注入、安全功能（Apple Gatekeeper）繞過和遠程利用，和Windows DLL劫持差不多。

蘋果動態庫劫持漏洞

DLL劫持攻擊和動態庫劫持攻擊的概念從本質上來說基本相同：攻擊者必須先找到一個惡意庫，然后才能進入操作系統加載的目錄中。Wardle只 是解釋了這類攻擊的一個方面，也就是他能找到Photostream Agent（iCloud運行時會自動運行）上易受攻擊的Apply二進制文件。

Wardle稱：

DLL劫持困擾Windows已經有一段時間了，是一個非常普遍的攻擊，而且已經被攻擊者用爛了。我之前有想過OS X上會不會也出現相同的問題。于是經過一系列的研究，我發現在OS X上也有相似的問題。雖然它們使用了不同的技術，但是入侵的能力卻相同，都很強大。

持久性潛伏是攻擊中最完美的一個部分，攻擊者可把一個特別編制的動態庫復制到Photostream目錄上，以隨時知道應用程序什么時候運行， 這樣攻擊者的動態庫就會被加載到進程中。這是最為隱秘的潛伏方式，因為它不會創建任何新的進程，不會修改任何文件，只是植入了一個單一的動態庫。

遠程執行惡意代碼

Wardle說他能通過在Xcode注入一個進程便可在受害者設備上自動并持久的執行代碼。一旦Xcode感染了他的惡意程序，只要開發者在系統上部署了一個新的二進制文件，它就會自動添加惡意代碼到文件上。

Wardle還可以遠程繞過蘋果Gatekeeper的安全防護，他的惡意動態庫代碼會植入到下載文件中，但是這一舉動本應該被 Gatekeeper攔截掉（因為它不是經過Apple App Store下載）。然而，Gatekeeper會遠程加載這一惡意文件，這樣攻擊者就可遠程執行代碼并感染用戶了。

安全掃描器

Wardle還發布了掃描器的源代碼，可掃描到易受攻擊的應用程序。他在自己的OS X機器上運行了他寫的Python腳本，經掃描發現有144個二進制文件易受動態庫劫持攻擊，包括蘋果的Xcode，iMovie和Quicktime插 件，微軟的word、excel、PPT，還有一些第三方應用程序（Java，Dropbox，GPG Tools 和Adobe插件）。

[參考來源 threatpost ，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）]

</div> </div>