image

Gratis tool gelanceerd om malware op macOS te monitoren

vrijdag 17 augustus 2018, 16:39 door Redactie, 6 reacties

Securitybedrijf Fortinet heeft een gratis tool gelanceerd om malware op macOS te monitoren. De FortiAppMonitor, die tijdens de Black Hat-conferentie Las Vegas werd gepresenteerd, is ontworpen om het gedrag van macOS-programma's te analyseren.

Het gaat dan specifiek om malware, bijvoorbeeld die zich in de macOS-kernel bevindt. "Het helpt gebruikers om de mogelijkheden van malware te begrijpen en snel het gedrag te analyseren van malware die zich op macOS richt", aldus onderzoeker Kai Lu. De tool biedt een filter waarmee gebruikers op bepaalde events kunnen zoeken, alsmede op sleutelwoorden. Ook is het mogelijk om loggegevens op te slaan. Volgens Lu is de FortiAppMonitor vooral bedoeld om analisten en beveiligingsonderzoekers efficiënter malware te laten analyseren.

Image

Reacties (6)
18-08-2018, 10:06 door Anoniem
Wel vreemd dat /etc/password steeds door de tool benaderd wordt
18-08-2018, 11:04 door Anoniem
Door Anoniem: Wel vreemd dat /etc/password steeds door de tool benaderd wordt

Ook vreemd dat het na een tijdje verbinding maakt om stasistieken door de sturen ;)
18-08-2018, 16:32 door Anoniem
Door Anoniem:
Door Anoniem: Wel vreemd dat /etc/password steeds door de tool benaderd wordt

Ook vreemd dat het na een tijdje verbinding maakt om stasistieken door de sturen ;)

Laat daar eens wat bewijs van zien, ik heb namelijk het tool ook geinstalleerd en uitvoerig gebruikt maar bij mij wordt er geen verbinding met het internet gemaakt.
18-08-2018, 16:45 door Anoniem
Door Anoniem: Wel vreemd dat /etc/password steeds door de tool benaderd wordt

Dat vraag ik me ook af, maar dat heb ik wel met meer open/close files die ik nog niet thuis kan brengen.
19-08-2018, 09:36 door Anoniem
Door Anoniem:
Door Anoniem: Wel vreemd dat /etc/password steeds door de tool benaderd wordt

Dat vraag ik me ook af, maar dat heb ik wel met meer open/close files die ik nog niet thuis kan brengen.

Even verder lopen klootviolen met dtrace en ook die ziet toch echt dat /etc/passwd telkens geopend wordt:

dtrace: description 'syscall::open*:entry ' matched 7 probes
CPU ID FUNCTION:NAME
6 948 open_nocancel:entry FortiAppMonitor /etc/passwd
6 948 open_nocancel:entry FortiAppMonitor /etc/passwd
6 948 open_nocancel:entry FortiAppMonitor /etc/passwd
0 948 open_nocancel:entry FortiAppMonitor /etc/passwd
4 948 open_nocancel:entry FortiAppMonitor /etc/passwd
6 948 open_nocancel:entry FortiAppMonitor /etc/passwd
6 948 open_nocancel:entry FortiAppMonitor /etc/passwd

Ik zal de makers een aanschrijven.
20-08-2018, 09:58 door Anoniem
Door Anoniem:
Door Anoniem: Wel vreemd dat /etc/password steeds door de tool benaderd wordt

Ook vreemd dat het na een tijdje verbinding maakt om stasistieken door de sturen ;)

Let wel dit is op Black Hat-conferentie Las Vegas gepresenteerd... niet de White Hat-conferentie Las Vegas.

Vaste regel tegenwoordig: als het gratis is ben JIJ het product.

Nu alleen nog bewijzen :-)

Wel zeer merkwaardig dat het in /etc/passwd open_nocancel's genereerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.