-
-
das sehe ich aber so:
Zitat:
+++++++++++++++++++++++++++++++
.................dann prüft die enthaltene Schadsoftware, ob das Sicherheits-Tool Little Snitch aktiv ist, ........
Ist dies NICHT der Fall, soll offenbar Code nachgeladen werden, um eine Hintertür auf dem Mac einzurichten.
+++++++++++++++++++++++++++++++
Umgekehrt: was passier wenn LS aktiv ist ? -
mit LittleSnitch: offenbar keine Aktion, zur Vermeidung der Entdeckung. Das lässt sich leicht ändern. Und – nicht alle haben LittleSnitch
Hier eine interessante Untersuchung:
https://objective-see.com/blog/blog_0x17.html
Conclusions
Overall this malware sample isn't particularly advanced. It relies on user interaction (to open a malicious document in Microsoft Word, (not Apple's Pages)), as well as needs macros to be enabled. Most users know never to allow macros - right!?! Moreover using an open-source implant likely ensures that detection software should detect it - right!?
However let's be nice and give the attackers some credit. By using a macros in Word document they are exploiting the weakest link; humans! And moreover since macros are 'legitimate' functionality (vs. say a memory corruption vulnerability) the malware's infection vector doesn't have to worry about crashing the system nor being 'patched' out. -
Man kann auch noch LitteFlocker installieren und wird über Dateizugriffe informiert
So würde dann auffallen, wenn plötzlich ein Programm oder Prozeß auf Verzeichnisse oder Dateien zugreift, in denen es/er eigentlich nichts zu suchen hat.
Wer LittleSnitch kennt, wird sehen, daß sich hier nicht nur an den Namen "angelehnt" wurde.
https://www.littleflocker.com/
-
-
Alle Schutzmaßnahmen nutzen nichts, wenn man dem Teufel persönlich die Tür öffnet und ihn herein bittet :-)
"dann prüft die enthaltene Schadsoftware, ob das Sicherheits-Tool Little Snitch aktiv ist..."
"Ist dies nicht der Fall, soll offenbar Code nachgeladen werden"
Also: Nutzer ignoriert Warnmeldung UND LittleSnich ist NICHT aktiv.
Wem kann man Missachtung von Sicherheitsbedenken vorwerfen?
Sicher nicht den Messerfabriken in Solingen. -
Ich wollte gerade in die gleiche Kerbe schlagen: man muss schon ziemlich dämlich sein, wenn man ein englisches Dokument trotz Warnungen
mit explizit zugelassenen aktiven Macros öffnet.
Das ist genauso, als wenn ich in einer Spam ein verseuchte PDF-Rechnung im Anhang öffne. Wer das macht, ist selber schuld. -
Ich weiss jetzt nicht so recht, wie man das machen soll. Aber du könntest dir dieses Word-Dokument runterladen.
Der Link ist in dem Artikel. Und wenn du das Dokument mit Word öffnest, sollte die Warnung nach Macros kommen. In dem Fall ist wohl das Macro zwar funktionstüchtig, aber der Server, von dem die eigentliche Schadsoftware geladen werden soll, antwortet nicht.
Ansonsten bietet, soviel ich weiss, heise.de im Bereich Sicherheit & Netze auch eine Testseite zum Scannen von offnen Ports.
-
-
-
Word-Macros haben mit Little Snitch rein gar nichts zu tun...
das ist so ähnlich wie wenn du von einem Bewegungsmelder erwartest, das Licht einzuschalten wenn die Temperatur einen bestimmten Wert unterschreitet
-