One Article Review
| Source |  Mandiant |
|---|---|
| Identifiant | 8653034 |
| Date de publication | 2025-03-03 14:00:00 (vue: 2025-03-03 15:08:58) |
| Titre | Pas perdu dans la traduction: Rosetta 2 Artefacts in macOS Intrusions Not Lost in Translation: Rosetta 2 Artifacts in macOS Intrusions |
| Texte | Écrit par: Joshua Goddard
Résumé exécutif Rosetta 2 est la technologie de traduction d'Apple \\ pour l'exécution de binaires x86-64 sur les systèmes de macOS de silicium Apple (ARM64). La traduction Rosetta 2 crée un cache de fichiers à l'avance (AOT) qui peuvent servir de précieux artefacts médico-légaux. Mandiant a observé des acteurs de menace sophistiqués en tirant parti de la malware macOS compilé x86-64, probablement en raison de la compatibilité plus large et des politiques d'exécution assouplies par rapport aux binaires ARM64. L'analyse des fichiers AOT, combinée à FSevents et aux journaux unifiés (avec un profil personnalisé), peut aider à étudier les intrusions macOS. Introduction Rosetta 2 (connu en interne sur MacOS sous le nom d'OAH) a été introduit dans MacOS 11 (Big Sur) en 2020 pour permettre des binaires compilés pour les architectures x86-64 pour fonctionner sur des architectures de silicium Apple (ARM64). Rosetta 2 traduit des binaires x86-64 signés et non signés juste à temps ou à l'avance au point d'exécution. Mandiant a identifié plusieurs nouvelles variantes de logiciels malveillants MacOS hautement sophistiqués au cours de la dernière année, notamment compilé pour l'architecture x86-64. Mandiant a évalué que ce choix d'architecture était très probablement dû à une augmentation des chances de compatibilité sur les systèmes de victimes et des politiques d'exécution plus assouplies. Notamment, macOS applique ) vérifie si un fichier d'attente (aot) est déjà en ligne pour le binaire;" ROSETTA 2 CACHE DIRECTORY sur le volume de données à / var / db / oah / / . La valeur UUID dans ce chemin de fichier semble être générée au hasard sur l'installation ou la mise à jour. Si un fichier AOT n'existe pas, on sera créé en écrivant du code de traduction dans un . IN_PROGRESS Fichier et ensuite le renommant dans un |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | /users/crown/library/developer/xcode/deriveddata/ /users/mandiant/my /var/db/oah /var/db/oah// /var/db/oah/237823680d6bdb1e9663d60cca5851b63e /var/db/oah/237823680d6bdb1e9663d60cca5851b63e79f6c /volumes/data/development/downandmemload/downandmemload/ 0x0 0x21b1afc 0x2ec304 1596 1880 2020 23171b7868f20b671cbaeb39d8db6199f4629 23171b7868f20b671cbaeb39d8db6199f4629/id 256 34180 35102223 35102224 35102230 35102231 35102259 35102260 35102355 35102356 35102671 35102672 4bb34586b0872a0977efaa1d51f0861f564c9 4bb34586b0872a0977efaa1d51f0861f564c9/chmod 5cff449a366ea59b26af7d54c59779cdfac161 64/main 64/queue 668 73f25fab17744eb0c51b8d0071c53bb878471 7587121eb388f508c5d50f53efc40cf35dde 7587121eb388f508c5d50f53efc40cf35dde/cat 79f6c8e884ebacc5f285253c3826b8/1c65adbef01f45a7 8e884ebacc5f285253c3826b8/1c65adbef01f45a7a07379621 |
| Tags | Malware Threat Cloud |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.