【要約】New PamStealer macOS malware uses clever tradecraft to remain stealthy [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
macOSユーザーが正規のツールを導入する過程で、検知を回避しながら認証情報を窃取されるリスクが高まっている。攻撃者は、従来の検知手法を回避するために、OSの標準機能を悪用する高度な手法を模索している。
- ・従来のマルウェアは
curl等のシェルコマンドを使用し、検知されやすい。 - ・
com.apple.quarantineによる警告を回避する手法が求められている。 - ・パスワード検証時に
dscl等のプロセスを生成すると、防御側に検知される。
// Approach
攻撃者はmacOSのネイティブ機能を悪用し、検知の痕跡を最小限に抑える多段構成の実行チェーンを採用した。これにより、従来のシグネチャやプロセス監視を潜り抜けることを目指している。
- ・第1段階:AppleScriptとJXAを用い、Objective-C API経由でペイロードを取得する。
- ・第2段階:Rust製のMach-Oバイナリを実行し、Finder等の正規プロセスに偽装する。
- ・認証検証:PAM APIを直接呼び出し、ローカルでパスワードの正誤を判定する。
// Result
攻撃者は検知の可能性を低減し、ユーザーの疑念を逸らしながら効率的に情報を窃取している。この手法は、従来のセキュリティ製品の検知能力を無効化する可能性がある。
- ・シェルコマンドを排除し、プロセス監視による検知を回避した。
- ・PAMによる検証で、不審なプロセスチェーンの生成を抑制した。
- ・偽の破損メッセージを表示し、ユーザーの不審感を排除した。
- ・Full Disk Accessの要求を最大40分遅延させ、起動時の不審な挙動を隠蔽した。
Senior Engineer Insight
> macOSの標準機能を悪用する手法が高度化している。JXAやPAM APIの利用は、従来のプロセス監視を無効化する。Rustによる実装は、解析の難易度を向上させる。OSの低レイヤーな挙動を監視するEDRの導入が不可欠である。振る舞い検知による防御戦略への転換が求められる。