iHoneyClient - discovery and analysis of malware for Mac OS X

Abstract

In den letzten Jahren konnte Apples Betriebssystem OS X seine Anwenderbasis kontinuierlich vergrößern. Geschätzte 7.5\% aller weltweit eingesetzten Computer laufen unter OS X. Ein Grund für diesen Aufstieg ist der fragwürdige Ruf der Plattform, von Natur aus sicher gegen Schadsoftware zu sein. Die weite Verbreitung von Apple Computern hat jedoch Cyberkriminelle angelockt, die eine immer größer werdende Anzahl von schädlichen Programmen für OS X entwickelt haben. Doch während die Bedrohung für die Nutzer steigt, bleibt die Erforschung von Mac Malware auf der Strecke; der Fokus der Wissenschaft liegt weiterhin auf Microsoft Windows und mobilen Plattformen wie Android.<br />Um diese Lücke zu schließen entwickelte ich im Rahmen dieser Diplomarbeit iHoneyClient, ein Tool zum Auffinden und Analysieren von Schadsoftware für OS X. Zum Einen bietet iHoneyClient einen high-interaction Client Honeypot, der einen Endanwender beim Web surfen simuliert. Der Honeypot ist in der Lage das Risiko, das beim Besuch einer Website für Apple Benutzer ausgeht, zu analysieren. Zum Anderen implementiert iHoneyClient eine sogenannte Sandbox zur dynamischen Analyse von Mac Programmen. Mit Hilfe dieser Sandbox ist es möglich, Schadprogramme in einer geschützten Umgebung auszuführen und ihr Verhalten zu protokollieren. Mittels iHoneyClient überprüfte ich über 6,000 aus Blacklists stammende URLs um abzuschätzen, wie weit verbreitet OS X Malware ist. Weiters nutzte ich die Sandbox um eine dynamische Analyse von 174 Schadprogrammen durchzuführen. Die kombinierten Ergebnisse geben einen Überblick über den aktuellen Stand von Schadsoftware für OS X. Es gibt zwar mehrere fortgeschrittene Malware-Familien für OS X; die Wahrscheinlichkeit seinen Computer durch Web surfen zu infizieren ist jedoch sehr gering.<br />

Over the last few years, Apple's operating system OS X has steadily increased its user base. Today, an estimated 7.5\% of all computers worldwide are running OS X. One reason for this advancement is the platform's questionable reputation of being inherently safe.<br />However, the growing popularity of Apple computers has called criminals to attention. An increasing number of malware families is specifically targeting OS X. While there is a substantial body of research and tools dealing with malware on Windows and, more recently, Android systems, OS X has received little attention from security researchers so far. To amend this shortcoming, I implemented iHoneyClient, a tool to discover and analyze Mac malware. iHoneyClient offers a high-interaction client honeypot based on OS X that simulates an end user browsing the web on an Apple computer. The honeypot is able to examine the threat a website poses to OS X users. In addition, I built a dynamic analysis sandbox based on iHoneyClient. With this sandbox it is possible to execute Mac malware samples in an isolated environment and monitor their behavior.<br />I used iHoneyClient to evaluate over 6,000 blacklisted URLs to estimate how widespread malware for OS X is today. Furthermore, I used the dynamic analysis environment to analyze 174 malware samples. The combined results give an overview of the current state of OS X malware.<br />While several advanced malware families for OS X exist, it is highly unlikely to become infected by simply browsing the web.