Descripcion de la Tecnica
Securityd Memory es una técnica asociada al grupo attack-pattern de MITRE ATT&CK. Esta técnica permite a un adversario con acceso root obtener credenciales al leer la memoria del servicio securityd, un daemon responsable de implementar protocolos de seguridad como encriptación y autenticación.
Un adversario privilegiado podría escanear la memoria de securityd para descifrar la clave de inicio de sesión del usuario, obteniendo así datos sensibles como contraseñas de usuarios, redes WiFi, correos electrónicos, navegadores y certificados.
Como Funciona
La técnica aprovecha el acceso al sistema operativo para leer la memoria de securityd, un componente crítico en sistemas Apple que gestiona seguridad local. Al tener acceso a esta memoria, un atacante podría extraer claves criptográficas necesarias para descifrar el keychain del usuario.
El proceso implica: 1) Acceso al sistema con privilegios elevados, 2) Lectura de la memoria de securityd, 3) Identificación de secuencias de claves para descifrar el keychain, 4) Extracción de datos sensibles.
Actores que la Utilizan
Esta técnica es utilizada por actores con acceso a sistemas operativos con privilegios elevados, como: 1) Atacantes en Advanced Persistent Threats (APTs), 2) Malware con capacidad de ejecutar código administrativo, 3) Adversarios que intentan exfiltrar credenciales sensibles.
Deteccion
La detección se basa en monitoreo de actividades anómalas relacionadas con el servicio securityd, como: 1) Acceso no autorizado a memoria de sistema, 2) Uso inusual de claves criptográficas, 3) Descifrado de archivos sensibles sin permiso.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el riesgo, se recomienda: 1) Realizar auditorías periódicas del sistema y monitoreo de actividades anómalas, 2) Limitar el acceso a componentes críticos como securityd, 3) Implementar controles de seguridad para prevenir accesos no autorizados a la memoria del sistema.