Mach-O
Was ist Mach-O?
Mach-OMach-O ist das native Format fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf macOS, iOS, watchOS und tvOS und wird von Apples Toolchain erzeugt.
Mach-O (Mach Object) ist das Binarformat der Apple-Betriebssysteme macOS, iOS, watchOS und tvOS. Eine Mach-O-Datei besteht aus einem Header, einer Liste von Load Commands, die Segmente beschreiben, Informationen fur den Dynamic Linker, Symboltabellen und Code-Signature-Blocks. Universal- oder Fat-Binaries bundeln Slices fur mehrere Architekturen wie x86_64 und arm64. Aus Sicherheitssicht enthalt Mach-O die von AMFI und Gatekeeper durchgesetzten Code-Signing-Anforderungen, Hardened-Runtime-Entitlements und Notarisierungs-Metadaten; Malware-Analysten prufen Load Commands, eingebettete LC_CODE_SIGNATURE und das dyld-Verhalten, um Injektion, Dylib-Hijacking und Manipulation zu erkennen.
● Beispiele
- 01
Untersuchung eines bosartigen .app-Bundles mit otool -l und codesign --display zur Erkennung einer manipulierten LC_CODE_SIGNATURE.
- 02
Ein Angreifer nutzt DYLD_INSERT_LIBRARIES auf einer unsignierten Mach-O, um eine bosartige dylib zu laden.
● Häufige Fragen
Was ist Mach-O?
Mach-O ist das native Format fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf macOS, iOS, watchOS und tvOS und wird von Apples Toolchain erzeugt. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Mach-O?
Mach-O ist das native Format fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf macOS, iOS, watchOS und tvOS und wird von Apples Toolchain erzeugt.
Wie funktioniert Mach-O?
Mach-O (Mach Object) ist das Binarformat der Apple-Betriebssysteme macOS, iOS, watchOS und tvOS. Eine Mach-O-Datei besteht aus einem Header, einer Liste von Load Commands, die Segmente beschreiben, Informationen fur den Dynamic Linker, Symboltabellen und Code-Signature-Blocks. Universal- oder Fat-Binaries bundeln Slices fur mehrere Architekturen wie x86_64 und arm64. Aus Sicherheitssicht enthalt Mach-O die von AMFI und Gatekeeper durchgesetzten Code-Signing-Anforderungen, Hardened-Runtime-Entitlements und Notarisierungs-Metadaten; Malware-Analysten prufen Load Commands, eingebettete LC_CODE_SIGNATURE und das dyld-Verhalten, um Injektion, Dylib-Hijacking und Manipulation zu erkennen.
Wie schützt man sich gegen Mach-O?
Schutzmaßnahmen gegen Mach-O kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Mach-O?
Übliche alternative Bezeichnungen: Mach Object, Mach-O-Binary.
● Verwandte Begriffe
- appsec№ 373
ELF-Binarformat
Executable and Linkable Format, der Standard-Binarcontainer fur ausfuhrbare Dateien, Objektdateien und Shared Libraries auf Linux, BSD und den meisten System-V-Unix-Derivaten.
- appsec№ 809
PE-Executable-Format
Portable Executable, das Windows-Binarformat fur .exe-, .dll-, .sys- und .ocx-Dateien, abgeleitet vom alteren COFF-Objektformat.
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- forensics-ir№ 650
Malware-Analyse
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
- forensics-ir№ 926
Reverse Engineering
Das Disassemblieren und Analysieren kompilierter Software, Firmware oder Hardware, um Aufbau, Verhalten und Innenleben zu rekonstruieren.