Investigando o arquivo DMG malicioso no MacOSX

0

Eu tenho um Android Studio no meu MAC. Enquanto eu estava instalando, fui verificar o SHA256 dele. Então percebi que não era um pacote original. Eu gostaria de entender o que é, por que e explorar quais são minhas escolhas.

Antes de tudo, sei que não deveria ter iniciado a instalação antes de verificar a assinatura. Eu sei, meu mal. Então, tentar consertar a situação e entender com o que poderia ter acontecido.

Eu tenho algumas coisas que gostaria de entender:

  1. Se a assinatura não corresponder, é 100% de certeza de que esse é um pacote mal-intencionado?

  2. Se sim, que ferramenta posso usar para explorar o que esse pacote tem dentro e o que ele fez com a minha máquina?

  3. Que tipo de ferramenta posso executar para verificar se algum comando do SO foi sobrescrito? Quero dizer, não tenho certeza se uma simples operação de cópia pode fazer outra coisa.

  4. Eu queria pegar o dmg real e comparar com o estranho, existe uma maneira de comparar dois arquivos dmg? Algum tipo de comando diff?

Não sou especialista em segurança, mas estou aprendendo práticas melhores de como tornar as coisas mais seguras. Tenho certeza de que recebo muitos emails maliciosos, arquivos e tentativas de conexão. Apenas tentando aprender como me proteger um pouco mais.

Eu gostaria de evitar ter que reinicializar a máquina, mas parece ser o melhor caminho a percorrer. Mas eu preciso dos meus backups ... Então

Alguém pode ajudar?

ATUALIZAÇÃO:

O nome dos arquivos é o mesmo, a mesma versão: android-studio-ide-173.4819257-mac.dmg

Eu corri: shasum -a 256 android-studio-ide-173.4819257-mac.dmg

E eu tenho isso: d4a8502c5aabfc5477ff30dfffe296bf705bd7e62650a76796b646a8f28b5e5c

E eu devo conseguir isso (de developer.android.com): 21ec7cf480bfa05ff90594e9cebd0f79892e41d37b4a14988dce04a6fbb76b58

Eu não sei a relevância disso, mas tenho uma mensagem syspolicyd do MacOSX dizendo:

avaliação negada para android-studio-ide-173.4819257-mac.dmg com.apple.message.domain: com.apple.security.assessment.outcome2 com.apple.message.signature2: bundle: UNBUNDLED com.apple.message.signature4: 3 com.apple.message.signature3: android-studio-ide-173.4819257-mac.dmg com.apple.message.signature5: DESCONHECIDO com.apple.message.signature: denied: nenhuma assinatura utilizável SenderMachUUID: F8DBBA1F-DCAE-3434-9083-DC560D8032D5

    
por user8012 16.06.2018 / 05:23

2 respostas

0

Parece-me que a imagem do disco está correta, e tudo errado é que o site tem o SHA256 errado listado por algum motivo.

Acabei de baixar a imagem do disco do link , e recebo a mesma soma de verificação SHA256 que você faz. O arquivo do aplicativo na imagem do disco tem uma assinatura válida do Google (veja abaixo), e não vejo mais nada na imagem do disco que possa ser suspeito. Observe que a imagem de disco em si não está assinada, mas isso não é um problema.

$ codesign -dvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
Executable=/Volumes/Android Studio 3.1.3/Android Studio.app/Contents/MacOS/studio
Identifier=com.google.android.studio
Format=app bundle with Mach-O universal (i386 x86_64)
CodeDirectory v=20200 size=537 flags=0x0(none) hashes=11+3 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha1=bac9739e22e0c9da7499d33bafc4b211b1950cc4
CandidateCDHash sha256=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Hash choices=sha1,sha256
CDHash=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Signature size=8949
Authority=Developer ID Application: Google, Inc. (EQHXZ8M8AV)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=Jun 4, 2018, 2:33:20 PM
Info.plist entries=20
TeamIdentifier=EQHXZ8M8AV
Sealed Resources version=2 rules=13 files=13287
Internal requirements count=1 size=188

$ codesign -vvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: valid on disk
/Volumes/Android Studio 3.1.3/Android Studio.app: satisfies its Designated Requirement

$ spctl -avvv /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: accepted
source=Developer ID
origin=Developer ID Application: Google, Inc. (EQHXZ8M8AV)

$ codesign -dvvv ~/Downloads/android-studio-ide-173.4819257-mac.dmg
/Users/gordon/Downloads/android-studio-ide-173.4819257-mac.dmg: code object is not signed at all
    
por 16.06.2018 / 22:47
0

If the signature does not match, it is a 100% sure this is a malicious package?

Não. Você só sabe que o pacote tem uma soma de verificação diferente da que o desenvolvedor enviou. A causa disso também é que o download está corrompido (confira e veja o que acontece quando você baixa o original pela segunda vez, é diferente do primeiro download?)

    
por 16.06.2018 / 07:16

Tags