Security Bite: oto, jakie złośliwe oprogramowanie może wykryć i usunąć Twój Mac


Zastanawiałeś się kiedyś co złośliwe oprogramowanie macOS może wykryć i usunąć bez pomocy oprogramowania innych firm? Apple stale dodaje nowe reguły wykrywania złośliwego oprogramowania do wbudowanego pakietu XProtect na komputerze Mac. Chociaż większość nazw reguł (podpisów) jest zaciemniona, badacze bezpieczeństwa mogą przypisać je do popularnych nazw branżowych przy odrobinie inżynierii odwrotnej. Zobacz poniżej, jakie złośliwe oprogramowanie może usunąć Twój Mac!


9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, że urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której obecnie zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.


XProtect, Yara rządzi, co?

XProtect został wprowadzony w 2009 roku jako część systemu macOS X 10.6 Snow Leopard. Początkowo został wydany w celu wykrywania i ostrzegania użytkowników w przypadku wykrycia złośliwego oprogramowania w pliku instalacyjnym. Jednak XProtect ostatnio znacząco ewoluował. Wycofanie długoletniego narzędzia Malware Removal Tool (MRT) w kwietniu 2022 r. spowodowało pojawienie się XProtectRemediator (XPR), wydajniejszego natywnego komponentu chroniącego przed złośliwym oprogramowaniem, odpowiedzialnego za wykrywanie i eliminowanie zagrożeń na komputerach Mac.

Pakiet XProtect wykorzystuje wykrywanie oparte na sygnaturach Yara do identyfikowania złośliwego oprogramowania. Yara samo w sobie jest szeroko stosowanym narzędziem typu open source, które identyfikuje pliki (w tym złośliwe oprogramowanie) na podstawie określonych cech i wzorców w kodzie lub metadanych. Wspaniałe w zasadach Yara jest to, że każda organizacja lub osoba może tworzyć własne i wykorzystywać je, łącznie z Apple.

Od macOS 14 Sonomapakiet XProtect składa się z trzech głównych komponentów:

Reklama
  1. The XProtect samą aplikację, która może wykryć złośliwe oprogramowanie przy użyciu reguł Yara przy każdym pierwszym uruchomieniu aplikacji, zmianie lub aktualizacji jej podpisów.
  2. XProtectRemediator (XPR) jest bardziej proaktywny i może zarówno wykrywać, jak i usuwać złośliwe oprogramowanie, między innymi poprzez regularne skanowanie przy użyciu reguł Yara. Występują one w tle w okresach niskiej aktywności i mają minimalny wpływ na procesor.
  3. Usługa XProtectBehaviour (XBS) został dodany w najnowszej wersji systemu macOS i monitoruje zachowanie systemu w odniesieniu do krytycznych zasobów.

Niestety, Apple w większości używa ogólnych, wewnętrznych schematów nazewnictwa w XProtect, które zaciemniają popularne nazwy złośliwego oprogramowania. Chociaż robi się to nie bez powodu, stanowi to trudne zadanie dla osób ciekawych, jakie dokładnie złośliwe oprogramowanie może zidentyfikować XProtect.

Na przykład niektóre reguły Yara mają bardziej oczywiste nazwy, takie jak XProtect_MACOS_PIRRIT_GEN, sygnatura służąca do wykrywania oprogramowania reklamowego Pirrit. Jednak w XProtect znajdziesz w dużej mierze bardziej ogólne reguły, takie jak XProtect_MACOS_2fc5997 i wewnętrzne podpisy, które znają tylko inżynierowie Apple, takie jak XProtect_snowdrift. To jest to, co lubią badacze bezpieczeństwa Phila Stokesa I Alden Wejdź.

Phil Stokes z Sentinel One Labs radzi sobie świetnie repozytorium na GitHubie który odwzorowuje te zaciemnione podpisy używane przez Apple na bardziej popularne nazwy używane przez dostawców i znajdowane w publicznych skanerach złośliwego oprogramowania, takich jak VirusTotal. Co więcej, Alden niedawno stworzył znaczące postępy w zrozumieniu działania XPR poprzez wyodrębnienie reguł Yara z plików binarnych modułu skanującego.

Jakie złośliwe oprogramowanie może usunąć macOS?

Choć sama aplikacja XProtect może jedynie wykrywać i blokować złośliwe oprogramowanie, jej usunięcie sprowadza się do modułów skanujących XPR. Obecnie w aktualnej wersji XPR (v133) możemy zidentyfikować 14 z 23 remediatorów:

23 moduły skanujące w XProtectRemdiator v133
  1. Ładowanie: Moduł ładujący oprogramowanie reklamowe i pakietowe skierowane do użytkowników systemu macOS od 2017 r. Adload był w stanie uniknąć wykrycia przed główna aktualizacja XProtect która dodała 74 nowe reguły wykrywania Yara, wszystkie wycelowane w złośliwe oprogramowanie.
  2. BadGacha: Jeszcze nie zidentyfikowano.
  3. NiebieskiTop: „Wygląda na to, że BlueTop to kampania trojana proxy, którą Kaspersky zajmował się pod koniec 2023 r.” mówi Alden.
  4. Kartonowe wycinanki: Jeszcze nie zidentyfikowany.
  5. ZimnySnap: „ColdSnap prawdopodobnie szuka wersji złośliwego oprogramowania SimpleTea dla systemu macOS. Było to również powiązane z włamaniem do 3CX i ma takie same cechy jak warianty Linux i Windows.” SimpleTea (SimplexTea w systemie Linux) to trojan dostępu zdalnego (RAT), który prawdopodobnie pochodzi z KRLD.
  6. Crapyrator: Crapyrator został zidentyfikowany jako macOS.Bkdr.Activator. Jest to kampania złośliwego oprogramowania wykryta w lutym 2024 r., która „infekuje użytkowników systemu macOS na masową skalę, potencjalnie w celu utworzenia botnetu dla systemu macOS lub dostarczania innego szkodliwego oprogramowania na dużą skalę” – stwierdza Phil Stokes dla Sentinel One.
  7. DubRobber: Niepokojący i wszechstronny trojan dropper znany również jako XCSSET.
  8. Eicar: A nieszkodliwy plik który został celowo zaprojektowany tak, aby uruchamiał skanery antywirusowe bez powodowania szkody.
  9. FloppyFlipper: Jeszcze nie zidentyfikowano.
  10. Genieo: Bardzo często udokumentowany potencjalnie niechciany program (PUP). Do tego stopnia, że ​​ma nawet własną stronę w Wikipedii.
  11. ZielonyAkr: Jeszcze nie zidentyfikowany.
  12. Kradzież klucza: KeySteal to narzędzie do kradzieży informacji dla systemu macOS zaobserwowane po raz pierwszy w 2021 r. i dodane do XProtect w lutym 2023 r.
  13. MRTv3: Jest to zbiór komponentów do wykrywania i usuwania złośliwego oprogramowania, wykorzystanych w XProtect od jego poprzednika, narzędzia do usuwania złośliwego oprogramowania (MRT).
  14. Pirrit: Pirrit to oprogramowanie reklamowe dla systemu masOS, które pojawiło się po raz pierwszy w 2016 roku. Wiadomo, że wstrzykuje wyskakujące reklamy na strony internetowe, zbiera dane przeglądarki prywatnych użytkowników, a nawet minimalizuje ranking wyszukiwania, aby przekierowywać użytkowników na złośliwe strony.
  15. RangaStank: „Ta reguła jest jedną z bardziej oczywistych, ponieważ obejmuje ścieżki do złośliwych plików wykonywalnych znalezionych w incydencie 3CX” – mówi Alden. 3CX był atakiem na łańcuch dostaw przypisywanym Grupie Lazarus.
  16. Sosna czerwona: Z mniejszą pewnością Alden stwierdza, że ​​RedPine jest prawdopodobnie odpowiedzią na TriangleDB z Operacji Triangulacja.
  17. Lot Roacha: Jeszcze nie zidentyfikowano.
  18. Zamiana owiec: Jeszcze nie zidentyfikowano.
  19. PokażBeagle: Jeszcze nie zidentyfikowany.
  20. Zaspa: Zidentyfikowany jako CloudMensis Oprogramowanie szpiegowskie dla systemu MacOS.
  21. Upuszczenie zabawki: Jeszcze nie zidentyfikowany.
  22. Trovi: Podobny do Pirrita, Trovi to kolejny wieloplatformowy porywacz przeglądarki. Wiadomo, że przekierowuje wyniki wyszukiwania, śledzi historię przeglądania i wstawia własne reklamy do wyszukiwania.
  23. Sieć wodna: Jeszcze nie zidentyfikowany.

Jak znaleźć XProtect?

XProtect jest domyślnie włączony w każdej wersji systemu macOS. Działa również na poziomie systemu, całkowicie w tle, więc nie jest wymagana żadna interwencja. Aktualizacje XProtect również odbywają się automatycznie. Oto gdzie się znajduje:

  1. W Macintosh HD, iść do Biblioteka > Apple > System > Biblioteka > CoreServices
  2. Stąd możesz znaleźć środki zaradcze, klikając prawym przyciskiem myszy XProtect
  3. Następnie kliknij Pokaż Zawartość opakowania
  4. Zwiększać Zawartość
  5. otwarty System operacyjny Mac

Uwaga: użytkownicy nie powinni całkowicie polegać na pakiecie XProtect firmy Apple, ponieważ jego zadaniem jest wykrywanie znanych zagrożeń. Bardziej zaawansowane lub wyrafinowane ataki mogą z łatwością ominąć wykrywanie. Zdecydowanie zalecam korzystanie z narzędzi do wykrywania i usuwania złośliwego oprogramowania innych firm.

O Ugryzienie bezpieczeństwa: Security Bite to cotygodniowa kolumna poświęcona bezpieczeństwu na 9to5Mac. Co tydzień, Arina Waichulisa zapewnia wgląd w prywatność danych, odkrywa luki w zabezpieczeniach i rzuca światło na pojawiające się zagrożenia w rozległym ekosystemie Apple obejmującym ponad 2 miliardy aktywnych urządzeńS. Bądź bezpiecznybądź bezpieczny.

Więcej w tej serii

FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.





Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Zdobądź certyfikaty IT CompTIA, a ten pakiet przygotowawczy kosztuje tylko 59,97 USD

Istnieje więcej niż jeden sposób szkolenia na specjalistę IT. Chociaż formalny dyplom może otworzyć wiele drzwi, nadal istnieją wiarygodne zasoby, do których...

Gra na iPoda Tetris sterowana za pomocą kółka przewijania znalezionego w prototypie

Niepublikowany iPoda Na prototypie modelu 3. generacji odnaleziono grę Tetris, sterowaną za pomocą kółka przewijania… Klon Tetrisa został znaleziony przez użytkownika X AppleDemoYTktóra...

VANKYO przedstawia nowości projektorów na rok 2024 z inteligentnymi funkcjami

VANKYO, wiodąca na świecie marka innowacyjnych projektorów, wypuszcza na rynek trzy projektory domowe w sam raz na Dzień Pamięci: Leisure L470 Neo, Leisure...
Advertisment