Keychain - это встроенная система управления паролями для macOS и iOS, которая надежно хранит конфиденциальную информацию пользователей, такую как имена пользователей, пароли, ключи шифрования, сертификаты и защищенные заметки. Ее цель - предоставить пользователям и приложениям удобный и безопасный способ управления данными аутентификации.
Учетные данные из хранилищ паролей: Связка ключей (Keychain)
Keychain призван упростить работу пользователей за счет автозаполнения учетных данных в различных приложениях и на веб-сайтах, обеспечивая беспрепятственную и безопасную аутентификацию. Для защиты хранимых данных используются надежные механизмы шифрования, делающие их доступными только для авторизованных пользователей и приложений.
Несмотря на надежную конструкцию, Keychain не полностью защищен от уязвимостей. Неправильная конфигурация, уязвимые места в системе или злоумышленники, получившие несанкционированный доступ к устройству пользователя, могут скомпрометировать хранящуюся в нем конфиденциальную информацию.
Злоумышленники атакуют связку ключей, поскольку она часто содержит ценные учетные данные для локальных и удаленных систем, таких как учетные записи электронной почты, VPN и веб-сайты. Чтобы получить доступ к связке ключей, атакующим обычно необходимо получить достаточные привилегии, например root-доступ или контроль над учетной записью пользователя. Получив доступ, они могут использовать легитимные или вредоносные инструменты для извлечения хранящихся учетных данных. Если им удастся обойти или манипулировать системой контроля доступа, они могут расшифровать и просмотреть конфиденциальную информацию, хранящуюся в системе.
Особенно скрытным аспектом атак на связку ключей является ее интеграция в macOS и iOS в качестве легитимного системного инструмента. Поскольку операции с Keychain являются встроенными в операционную систему, несанкционированное извлечение данных может не вызывать немедленного оповещения со стороны систем мониторинга безопасности. Атакующие могут использовать эту конструкцию для смешивания своих действий с легитимной деятельностью пользователя или системы, что затрудняет их обнаружение защитниками.
Например, злоумышленники могут использовать встроенный в macOS инструмент командной строки безопасности, который позволяет авторизованным пользователям запрашивать данные Keychain. Используя этот инструмент, атакующие могут программно извлекать учетные данные, не устанавливая вредоносное ПО, которое может быть отмечено антивирусами или системами обнаружения конечных точек. Пользовательские скрипты или вредоносные приложения могут автоматизировать эти запросы, позволяя атакующим извлекать и расшифровывать сразу несколько учетных данных, если они обходят контроль доступа или вводят соответствующий пароль Keychain.
В апреле 2024 года сообщалось, что вредоносная программа Cuckoo похищала данные из каталога Keychain скомпрометированных пользователей с помощью фрагмента кода, приведенного ниже.
| 1 2 3 4 5 6 7 8 | _snprintf(&_~/Library/Keychains, 0x200, "%s/%s/%s") osascriptCreateforApple() void* var_4b0 = &var_458 int64_t* var_4a8_2 = &Keychains _snprintf(&_~/Library/Keychains, 0x200, "%s/%s") int64_t* var_498 = &Keychains void* var_490 = &_~/Library/Keychains openDir_readDir(DirectoryOpen: &_~/Library/Keychains, "*", avoid_DS_Store, &var_498, 0x3e7) |