565 4

Acciones de carpeta como medida de seguridad proactiva

Las acciones de carpeta es un sistema ya introducido en OS X hace muchas versiones que permite ejecutar un Applescript cuando el contenido de una carpeta se modifica. Utilizadas para automatizar procesos, también son útiles como medida de seguridad ya que permiten saber cuando se ha añadido o modificado un archivo dentro de una carpeta sensible y poder así examinar ese archivo y determinar si está realizando una acción que pueda considerarse como maliciosa.

Activar las acciones de carpeta para una carpeta determinada es muy sencillo: solo has de hacer clic con el botón alternativo del ratón encima de ella para desplegar el menú contextual y entre las opciones de Servicios encontrarás la opción Configurar acciones de Carpeta.

Captura de pantalla 2015-08-05 a las 2.54.54Al seleccionar esa opción te aparecerá un cuadro de diálogo con una serie de scripts que puedes ejecutar. Nos interesa especialmente para estas tarea el primero, add – New item alert.scpt, un script construido en Applescript que lanza un cuadro de diálogo cuando se añade un archivo a la carpeta y nos permite, una vez resuelto el mismo, que nos aparezca una ventana del Finder con los archivos de esa carpeta y el archivo que se ha añadido seleccionado para proceder a su inspección.

La pregunta es ¿qué carpetas debo vigilar?

Hay una serie de carpetas tácticas dentro de OS X que suelen ser el objetivo de cualquier malware que se precie: las carpetas de LaunchDaemons y la carpeta de  LaunchAgents que son las carpetas en las que se añaden pequeños archivos en formato .plist que describen claramente qué procesos se van a lanzar de forma recurrente cuando se trata de Daemons (es decir, si se cierran, se volverán a lanzar) o con el inicio de OS X cuando se trata de los Agents.

Estas carpetas están en las siguientes rutas:

  • /System/Library/LaunchAgents
  • /System/Library/LaunchDaemons
  • /Library/LaunchAgents
  • /Library/LaunchDaemons
  •  /Library/StartupItems
  •  /Users/tu_usuario/Library/LaunchAgents
  •  /Users/tu_usuario/Library/LaunchDaemons (si existe)

¿Cómo se lee uno de estos archivos una vez que me ha saltado la alerta?

Te encontrarás con un archivo .plist que no es más que un XML que puede ser leído por cualquier editor de texto. Yo tengo especial debilidad por Textwrangler que gestiona los permisos del mismo automáticamente, pero puedes hacerlo con otras herramientas si te sientes más cómodo con ellas (tendrás que gestionar los permisos) e incluso puedes usar el Terminal usando

Cat ruta/al/archivo

Vamos a analizar uno de estos archivos, para que veas que en casi todos ellos se hace referencia a una ruta de una aplicación.

Captura de pantalla 2015-08-05 a las 3.13.56

Si te fijas en el recuadro que he marcado en la imagen he marcado una ruta a la ejecución de un archivo que podría o no podría ser malicioso. Con el tiempo, si conoces tu Mac, sabrás que es algo que has instalado tu, pero si te surge una duda, lo mejor es abrir el navegador, abrir el motor de búsqueda de tu elección y en su campo copiar y meter la ruta completa para ver que resultados nos ofrece y si hay alguna referencia al respecto de si puede estar apuntando a un malware.

Por cierto, no metas la ruta directamente en la barra de direcciones porque no va a funcionar. Abre Google.es, o Google.com, y entonces, sí, mete allí la ruta.

0 0 votos
Article Rating
Subscribe
Notify of
4 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
wenmusic
6 years ago

Bravo! Qué ùtil! Me lo guardo este post.

cemiguel
cemiguel
6 years ago

Suelo revisar esas carpetas con frecuencia para borrar la basura que coloca Adobe. Ahora, con tu información, la comprobación será automática. Gracias, Carlos.

sault
6 years ago

Para los mas vagos. Es del 2012.

http://www.circl.lu/pub/tr-08/

Alquimista
Alquimista
Responder a  sault
6 years ago
4
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x