PHK Knowledge Sharing

Dec 7 ရက်နေ့ နေ့လည် ၁ နာရီ (မြန်မာချိန်) မှာ The Art of Windows Memory Forensics ခေါင်းစဉ်နဲ့ဆွေးနွေးဖို့ရှိပါတယ် စိတ်ဝင်စားရင် Post Link ကနေ Register လုပ်လို့ရပါကြောင်း

https://forms.gle/HcrjQ7PsQauA7rng6

“Mac တွေ (သို့မဟုတ်) iPhone တွေကို ဗိုင်းရပ်စ်မကိုက်နိုင်ဘူး” ဆိုတဲ့ စကားကိုလူတိုင်းလိုလိုကြားဖူးကြမယ်ထင်ပါတယ် .. ဒါဟာ အသုံးပြုသူတွေကြားထဲမှာ အထင်လွဲမှားနေတဲ့ ယူဆချက်တစ်ခုဖြစ်ပါတယ်

2021 တုန်းက Apple နဲ့ Fortnite ဂိမ်းထုတ်လုပ်တဲ့ကုမ္ပဏီဖြစ်တဲ့ Epic တို့ဟာ AppStore Policies တွေနဲ့ပတ်သက်ပြီးအပြန်အလှန်တရားစွဲဆိုခဲ့ကြပါတယ် .. အဲ့တုန်းက Apple Software Engineering ရဲ့ Senior Vice President ဖြစ်တဲ့ Craig Federighi ကဒီလိုပြောခဲ့ဖူးပါတယ် “ယနေ့ခေတ် macOS ပေါ်က Malware တွေဟာ ကျွန်တော်တို့လက်ခံနိုင်စရာမရှိတဲ့အနေအထားထိရောက်နေပြီး အဲ့တာက iOS ပေါ်က Malware တွေထက်ပိုပြီးဆိုးရွားပါတယ်”

ဒီလောက်ဆိုရင်ပဲ Apple Device တွေပေါ်မှာ တခြား Windows, Android တွေလိုပဲ Malware တွေ Virus တွေရှိပြီဆိုတာလက်ခံရတော့မှာပါ .. ဒါပေမယ့် Windows, Android တွေလောက်ထိ ပေါသောနေတာမျိုးတော့မဟုတ်ပါဘူး .. ဘာလို့လဲဆိုရင် macOS, iOS သုံးတဲ့လူဦးရေပိုနည်းနေတာဖြစ်လို့ Malware တီထွင်ရေးသားသူတွေဟာ သိပ်ပြီးဂရုမစိုက်တာဖြစ်ပါတယ် .. နောက်တစ်ခုက iOS ပေါ်မှာဆိုရင် AppStore ကနေပဲ App တွေသွင်းလို့ရတာဖြစ်လို့ Apple ကအတိုင်းအတာတစ်ခုထိ ထိန်းချုပ်ထားလို့ရနေတာဖြစ်ပါတယ်

နောက်ပြီး macOS နဲ့ iOS တွေကို Hack တဲ့အခါ ဘယ်လိုနည်းလမ်းတွေအသုံးပြုသလဲဆိုတာကို MITRE ရဲ့ ATT&CK Framework မှာလည်းသွားကြည့်နိုင်ပါတယ်

macOS - https://attack.mitre.org/matrices/enterprise/macos/
iOS - https://attack.mitre.org/matrices/mobile/ios/

Malware တွေထဲမှာလည်း အမျိုးမျိုးရှိပါသေးတယ်

Spyware လို့ခေါ်တဲ့ အသုံးပြုသူကို စောင့်ကြည့်ဖို့ဖန်တီးထားတဲ့ Malware တွေရှိပါတယ် .. အထူးသဖြင့် အစ္စရေးကုမ္ပဏီဖြစ်တဲ့ NSO ကဖန်တီးထားတဲ့ Pegasus Spyware ဟာဆိုရင် iOS မှာ ဘယ်သူမှရှာမတွေ့သေးတဲ့ လုံခြုံရေးအားနည်းချက်တွေကိုအသုံးချပြီး Device ပိုင်ရှင်ကို ထောက်လှမ်းစောင့်ကြည့်ဖို့ဖန်တီးထားတာဖြစ်ပါတယ် .. ဒါတွေကိုနိုင်ငံအသီးသီးက အစိုးရအဖွဲ့တွေကဝယ်ယူကြပြီး အနီးစပ်ဆုံးဆိုရင် 2022 လောက်က ထိုင်းအစိုးရဟာ ဒီမိုကရေစီတက်ကြွလှုပ်ရှားသူတွေရဲ့ iPhone ကို Pegasus Spyware အသုံးပြုပြီး ထောက်လှမ်းစောင့်ကြည့်ခဲ့တယ်လို့သိရပါတယ်

Stealer လို့ခေါ်တဲ့ Malware တွေကတော့ အသုံးပြုသူရဲ့ Device ပေါ်မှာရှိနေတဲ့ အချက်အလက်တွေခိုးယူတာပါ .. ဥပမာ GMERA လို့ခေါ်တဲ့ Malware တစ်မျိုးဆိုရင် Cryptocurrency Trading လုပ်တဲ့ App တစ်ခုထဲမှာ Malware ကိုမြှုပ်ထားတာဖြစ်ပါတယ် .. အဆိုပါ App ကို Install မိတဲ့လူတွေအနေနဲ့ကတော့ Crypto Wallets တွေအခိုးခံရမှာပါ

နောက်တစ်ခုကတော့ လူတိုင်းသိတဲ့ Ransomware ဖြစ်ပါတယ် .. Ransomware သဘောတရားအတိုင်းပဲ သူတို့ရောက်လာတဲ့ Device တွေအထဲမှာရှိတဲ့ Files တွေကို ဘယ်သူမှဖွင့်/ဖတ်လို့မရအောင် Encrypt လုပ်လိုက်ပြီး Data တွေပြန်လိုချင်ရင် ပိုက်ဆံပေးဆိုတဲ့ပုံစံမျိုးပဲဖြစ်ပါတယ် .. EvilQuest/TheifQuest ဆိုရင် Cracked လုပ်ထားတဲ့ Software တွေကနေတစ်ဆင့်ကူးစက်ကြတာပါ

ဒါ့အပြင် အစိုးရကျောထောက်နောက်ခံပေးထားတဲ့ ဟက်ကာတွေကလည်း macOS နဲ့ပတ်သက်တဲ့ Malware တွေကိုဖန်တီးကြပါတယ် .. မြောက်ကိုးရီးယား Lazarus Group, ဗီယက်နမ်ရဲ့ OceanLotus, ရုရှားရဲ့ Fancy Bear, Cozy Bear အဖွဲ့တို့ဟာ macOS Malware တွေဖန်တီးကြတယ်ဆိုတဲ့အထောက်အထားတွေရှိပါတယ်

ဒီလို Malware တွေရန်ကနေကာကွယ်ဖို့ Apple ကဘာလုပ်သလဲ?

Apple အနေနဲ့လုံခြုံရေးဆိုင်ရာအဆင့်မြှင့်တင်မှုတွေအများကြီးပြုလုပ်လေ့ရှိပါတယ် .. ထင်ရှားတာတွေပြောရမယ်ဆိုရင် -

1. Lockdown Mode

အပေါ်မှာပြောခဲ့သလို ထိုင်းတက်ကြွလှုပ်ရှားသူတွေကိုထောက်လှမ်းတဲ့ဖြစ်ရပ်မျိုးမှာ Apple က အသုံးပြုသူတွေကိုလှမ်းပြီးသတိပေးပါတယ် .. ဒီလိုအချိန်မှာအသုံးပြုသူက Lockdown Mode ကိုဖွင့်လိုက်မယ်ဆိုရင် ထောက်လှမ်းရေးလုပ်နေတဲ့အဖွဲ့ကနေ ဆက်ပြီးထောက်လှမ်းဖို့အများကြီးခက်ခဲသွားမှာဖြစ်ပါတယ်

2. Code Signing

Application Developer တွေအနေနဲ့ သူတို့ရေးထားတဲ့ Code ဟာ သူတို့ကိုယ်တိုင်ရေးထားတာဖြစ်ပါကြောင်း, ဘယ်သူကမှပြုပြင်ပြောင်းလဲထားခြင်းမရှိပါကြောင်းဆိုတဲ့သက်သေပြဖို့အတွက် Code Signing နည်းကိုသုံးကြပါတယ် .. ဥပမာ Microsoft ကရေးထားတဲ့ Microsoft Office ဟာ Microsoft ရဲ့ Valid Certificate ရှိနေရပါမယ် .. မရှိနေဘူးဆိုရင် တစ်စုံတစ်ယောက်က Code ကို ပြုပြင်ထားတာမို့ Malware တွေပါလာနိုင်ခြေများသွားပါပြီ .. ဒီ Code ဟာ Apple မှာလည်းရှိနေတာဖြစ်ပြီး Application တစ်ခု run တာနဲ့ valid code ဟုတ်မဟုတ် စစ်ဆေးလို့ရပါတယ်

3. XProtect

macOS ထဲမှာ Build-in ပါတဲ့ Anti-Virus Software လို့ပြောလို့ရပါတယ် .. ဒါပေမယ့်အဆင့်အမြင့်ကြီးတော့မဟုတ်ပါဘူး .. Signature-based Detection စနစ်ကိုသုံးထားတာဖြစ်လို့ Apple ကသိပြီးသားဖြစ်တဲ့ Malware တွေကိုပဲ Detect လုပ်ပါတယ် .. ဒီလို Detect လုပ်ဖို့အတွက် YARA Rules တွေကိုသုံးပါတယ် .. ဒီ YARA Rules တွေဟာလည်း Apple စိတ်ပေါက်မှ Update ထလုပ်တာဖြစ်လို့ အမြဲတမ်း Up to date ဖြစ်မနေပါဘူး .. XProtect နဲ့သက်ဆိုင်တဲ့ Files တွေကို /System/Library/CoreServices/XProtect.bundle/Contents/Resources/ folder ထဲမှာတွေ့နိုင်ပါတယ် .. အဲ့ထဲက XProtect.plist ဆိုတဲ့ plist file ထဲမှာ Detected ဖြစ်ထားတဲ့ Malware တွေကိုတွေ့နိုင်ပါတယ် .. XProtect.yara ဆိုတဲ့ File ထဲမှာတော့ ခုနက Discuss လုပ်သွားတဲ့ YARA Rules တွေမြင်ရပါမယ်

4. Gatekeeper

Gatekeeper ဆိုတာကတော့ AppStore မဟုတ်တဲ့နေရာက Download လုပ်တဲ့ Application တွေကို ဖွင့်လို့မရအောင်တားဆီးတဲ့နေရာမှာသုံးပါတယ် .. အားလုံးသိတဲ့အတိုင်း macOS ဟာ iOS လိုမျိုး AppStore တစ်ခုတည်းကနေပဲ App တွေ Download လုပ်လို့ရတာမဟုတ်ပါဘူး .. အင်တာနက်ပေါ်ကနေလည်း Application တွေသွင်းလို့ရပါတယ် .. ဒီလိုလုပ်တာကို Sideloading လုပ်တယ်လို့လည်းခေါ်ပါတယ် .. ဒီလိုတွေ့ကရာ Website ကနေ Download လုပ်ပြီး App တွေသွင်းလို့ရတဲ့အခါ Malware တွေကိုလည်း သွင်းမိလာနိုင်ပါတယ် .. ဒါကြောင့် Apple က ဒီလိုမယုံရတဲ့ App တွေကိုဖွင့်လိုက်ရင် မယုံရကြောင်းပြောဖို့အတွက် Gatekeeper ကိုသုံးတာဖြစ်ပါတယ်

5. Notarization

Notarization ဆိုတဲ့ နည်းပညာကတော့ နောက်ဆုံးပေါ်ဖြစ်ပါတယ် .. သူကတော့ AppStore ပေါ်မှာမတင်တဲ့ Application တွေကို စစ်ဆေးပေးတာပါ .. ဥပမာ သင်က Google Company ဆိုပါစို့ .. သင့်ရဲ့ Google Chrome App ကို သင့် website ပေါ်မှာ download လုပ်လို့ရအောင်တင်ထားမယ် .. ဒီတော့ AppStore ပြင်ပ App ဖြစ်တဲ့အတွက် Apple ကိုပို့ပြီး Notarize လုပ်ခိုင်းလို့ရပါတယ် .. Apple က သင့် Application ကိုစစ်ဆေးပြီး Malware မဟုတ်ဘူးလို့သေချာတာနဲ့ သင့်ကို Notarization Ticket လေးပြန်ထုတ်ပေးပါလိမ့်မယ် .. ဒီ Ticket လေးရှိတာနဲ့ အပေါ်က Gatekeeper လိုနည်းပညာက သင့် App run တာကို လာပြီးတားဆီးတော့မှာမဟုတ်ပါဘူး, သင့် App က AppStore ပြင်ပက App ဖြစ်နေတာတောင်မှပေါ့လေ .. Background Check လုပ်တယ်လို့ပဲ လွယ်လွယ်ပြောလို့ရပါတယ်

ဆိုတော့ အားလုံးမြင်တဲ့အတိုင်းပဲ Apple ဖက်ကတော့ တတ်နိုင်သမျှလုံခြုံရေးတင်းကျပ်အောင် ပြုလုပ်ထားပေမယ့်လည်း Malware တွေဟာဝင်လာနေတုန်းပါပဲ .. နောက်ဆုံးတော့ အသုံးပြုသူကိုယ်တိုင် Information Security Awareness ရှိနေမှသာ ဒီလို Malware တွေရန်ကကာကွယ်နိုင်မှာဖြစ်ပါတယ် .. သင်ဟာအကယ်လို့ နိုင်ငံရေးသမားတစ်ယောက်ဖြစ်ခဲ့မယ်, သို့မဟုတ် ထိပ်တန်းပညာရှင်တစ်ယောက်ဖြစ်မယ်ဆိုရင် တခြားနိုင်ငံကသင့်ကိုပစ်မှတ်ထားလာနိုင်ပါတယ် .. ဥပမာ မြောက်ကိုးရီးယားဟာ နျူကလီးယားပိုင်ဆိုင်ထားတဲ့နိုင်ငံတွေက နျူသိပ္ပံပညာရှင်တွေရဲ့ ကွန်ပျူတာကိုဟက်ခ်လုပ်ပြီး နျူနည်းပညာခိုးယူတာမျိုးပေါ့ .. ဒါမျိုးဖြစ်လာမှာစိုးရင်တော့ ကိုယ်ကိုယ်တိုင် သတင်းအချက်အလက်လုံခြုံရေးကိုသိအောင်လေ့လာသင့်ပြီး သင်သုံးနေတဲ့ Computer ပေါ်မှာလည်း Anti-Virus တစ်ခုလောက်ထည့်ထားတာပိုပြီးလုံခြုံပါတယ် .. ဘယ်လိုပဲဖြစ်ဖြစ် macOS နဲ့ iOS တို့ဟာ Windows, Android တို့ထက်ပိုပြီးလုံခြုံနေတုန်းပါပဲ .. အကြောင်းအရင်းကတော့ အသုံးပြုသူနည်းလို့ ဟက်ကာတွေက Target သိပ်မထားတာရယ်, Apple ကိုယ်တိုင်က လုံခြုံရေးနဲ့ပတ်သက်ပြီး တခြား Platform တွေထက်ပိုပြီးတင်းကျပ်ထားတာကြောင့်ဖြစ်ပါတယ်

Website - https://pyaeheinnkyaw.com/malware-on-macos-and-ios/