Zastanawiałeś się kiedyś co złośliwe oprogramowanie macOS może wykryć i usunąć bez pomocy oprogramowania innych firm? Apple stale dodaje nowe reguły wykrywania złośliwego oprogramowania do wbudowanego pakietu XProtect na komputerze Mac. Chociaż większość nazw reguł (podpisów) jest zaciemniona, badacze bezpieczeństwa mogą przypisać je do popularnych nazw branżowych przy odrobinie inżynierii odwrotnej. Zobacz poniżej, jakie złośliwe oprogramowanie może usunąć Twój Mac!
9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, że urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której obecnie zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.
XProtect, Yara rządzi, co?
XProtect został wprowadzony w 2009 roku jako część systemu macOS X 10.6 Snow Leopard. Początkowo został wydany w celu wykrywania i ostrzegania użytkowników w przypadku wykrycia złośliwego oprogramowania w pliku instalacyjnym. Jednak XProtect ostatnio znacząco ewoluował. Wycofanie długoletniego narzędzia Malware Removal Tool (MRT) w kwietniu 2022 r. spowodowało pojawienie się XProtectRemediator (XPR), wydajniejszego natywnego komponentu chroniącego przed złośliwym oprogramowaniem, odpowiedzialnego za wykrywanie i eliminowanie zagrożeń na komputerach Mac.
Pakiet XProtect wykorzystuje wykrywanie oparte na sygnaturach Yara do identyfikowania złośliwego oprogramowania. Yara samo w sobie jest szeroko stosowanym narzędziem typu open source, które identyfikuje pliki (w tym złośliwe oprogramowanie) na podstawie określonych cech i wzorców w kodzie lub metadanych. Wspaniałe w zasadach Yara jest to, że każda organizacja lub osoba może tworzyć własne i wykorzystywać je, łącznie z Apple.
Od macOS 14 Sonomapakiet XProtect składa się z trzech głównych komponentów:
- The XProtect samą aplikację, która może wykryć złośliwe oprogramowanie przy użyciu reguł Yara przy każdym pierwszym uruchomieniu aplikacji, zmianie lub aktualizacji jej podpisów.
- XProtectRemediator (XPR) jest bardziej proaktywny i może zarówno wykrywać, jak i usuwać złośliwe oprogramowanie, między innymi poprzez regularne skanowanie przy użyciu reguł Yara. Występują one w tle w okresach niskiej aktywności i mają minimalny wpływ na procesor.
- Usługa XProtectBehaviour (XBS) został dodany w najnowszej wersji systemu macOS i monitoruje zachowanie systemu w odniesieniu do krytycznych zasobów.
Niestety, Apple w większości używa ogólnych, wewnętrznych schematów nazewnictwa w XProtect, które zaciemniają popularne nazwy złośliwego oprogramowania. Chociaż robi się to nie bez powodu, stanowi to trudne zadanie dla osób ciekawych, jakie dokładnie złośliwe oprogramowanie może zidentyfikować XProtect.
Na przykład niektóre reguły Yara mają bardziej oczywiste nazwy, takie jak XProtect_MACOS_PIRRIT_GEN, sygnatura służąca do wykrywania oprogramowania reklamowego Pirrit. Jednak w XProtect znajdziesz w dużej mierze bardziej ogólne reguły, takie jak XProtect_MACOS_2fc5997 i wewnętrzne podpisy, które znają tylko inżynierowie Apple, takie jak XProtect_snowdrift. To jest to, co lubią badacze bezpieczeństwa Phila Stokesa I Alden Wejdź.
Phil Stokes z Sentinel One Labs radzi sobie świetnie repozytorium na GitHubie który odwzorowuje te zaciemnione podpisy używane przez Apple na bardziej popularne nazwy używane przez dostawców i znajdowane w publicznych skanerach złośliwego oprogramowania, takich jak VirusTotal. Co więcej, Alden niedawno stworzył znaczące postępy w zrozumieniu działania XPR poprzez wyodrębnienie reguł Yara z plików binarnych modułu skanującego.
Jakie złośliwe oprogramowanie może usunąć macOS?
Choć sama aplikacja XProtect może jedynie wykrywać i blokować złośliwe oprogramowanie, jej usunięcie sprowadza się do modułów skanujących XPR. Obecnie w aktualnej wersji XPR (v133) możemy zidentyfikować 14 z 23 remediatorów:
- Ładowanie: Moduł ładujący oprogramowanie reklamowe i pakietowe skierowane do użytkowników systemu macOS od 2017 r. Adload był w stanie uniknąć wykrycia przed główna aktualizacja XProtect która dodała 74 nowe reguły wykrywania Yara, wszystkie wycelowane w złośliwe oprogramowanie.
- BadGacha: Jeszcze nie zidentyfikowano.
- NiebieskiTop: „Wygląda na to, że BlueTop to kampania trojana proxy, którą Kaspersky zajmował się pod koniec 2023 r.” mówi Alden.
- Kartonowe wycinanki: Jeszcze nie zidentyfikowany.
- ZimnySnap: „ColdSnap prawdopodobnie szuka wersji złośliwego oprogramowania SimpleTea dla systemu macOS. Było to również powiązane z włamaniem do 3CX i ma takie same cechy jak warianty Linux i Windows.” SimpleTea (SimplexTea w systemie Linux) to trojan dostępu zdalnego (RAT), który prawdopodobnie pochodzi z KRLD.
- Crapyrator: Crapyrator został zidentyfikowany jako macOS.Bkdr.Activator. Jest to kampania złośliwego oprogramowania wykryta w lutym 2024 r., która „infekuje użytkowników systemu macOS na masową skalę, potencjalnie w celu utworzenia botnetu dla systemu macOS lub dostarczania innego szkodliwego oprogramowania na dużą skalę” – stwierdza Phil Stokes dla Sentinel One.
- DubRobber: Niepokojący i wszechstronny trojan dropper znany również jako XCSSET.
- Eicar: A nieszkodliwy plik który został celowo zaprojektowany tak, aby uruchamiał skanery antywirusowe bez powodowania szkody.
- FloppyFlipper: Jeszcze nie zidentyfikowano.
- Genieo: Bardzo często udokumentowany potencjalnie niechciany program (PUP). Do tego stopnia, że ma nawet własną stronę w Wikipedii.
- ZielonyAkr: Jeszcze nie zidentyfikowany.
- Kradzież klucza: KeySteal to narzędzie do kradzieży informacji dla systemu macOS zaobserwowane po raz pierwszy w 2021 r. i dodane do XProtect w lutym 2023 r.
- MRTv3: Jest to zbiór komponentów do wykrywania i usuwania złośliwego oprogramowania, wykorzystanych w XProtect od jego poprzednika, narzędzia do usuwania złośliwego oprogramowania (MRT).
- Pirrit: Pirrit to oprogramowanie reklamowe dla systemu masOS, które pojawiło się po raz pierwszy w 2016 roku. Wiadomo, że wstrzykuje wyskakujące reklamy na strony internetowe, zbiera dane przeglądarki prywatnych użytkowników, a nawet minimalizuje ranking wyszukiwania, aby przekierowywać użytkowników na złośliwe strony.
- RangaStank: „Ta reguła jest jedną z bardziej oczywistych, ponieważ obejmuje ścieżki do złośliwych plików wykonywalnych znalezionych w incydencie 3CX” – mówi Alden. 3CX był atakiem na łańcuch dostaw przypisywanym Grupie Lazarus.
- Sosna czerwona: Z mniejszą pewnością Alden stwierdza, że RedPine jest prawdopodobnie odpowiedzią na TriangleDB z Operacji Triangulacja.
- Lot Roacha: Jeszcze nie zidentyfikowano.
- Zamiana owiec: Jeszcze nie zidentyfikowano.
- PokażBeagle: Jeszcze nie zidentyfikowany.
- Zaspa: Zidentyfikowany jako CloudMensis Oprogramowanie szpiegowskie dla systemu MacOS.
- Upuszczenie zabawki: Jeszcze nie zidentyfikowany.
- Trovi: Podobny do Pirrita, Trovi to kolejny wieloplatformowy porywacz przeglądarki. Wiadomo, że przekierowuje wyniki wyszukiwania, śledzi historię przeglądania i wstawia własne reklamy do wyszukiwania.
- Sieć wodna: Jeszcze nie zidentyfikowany.
Jak znaleźć XProtect?
XProtect jest domyślnie włączony w każdej wersji systemu macOS. Działa również na poziomie systemu, całkowicie w tle, więc nie jest wymagana żadna interwencja. Aktualizacje XProtect również odbywają się automatycznie. Oto gdzie się znajduje:
- W Macintosh HD, iść do Biblioteka > Apple > System > Biblioteka > CoreServices
- Stąd możesz znaleźć środki zaradcze, klikając prawym przyciskiem myszy XProtect
- Następnie kliknij Pokaż Zawartość opakowania
- Zwiększać Zawartość
- otwarty System operacyjny Mac
Uwaga: użytkownicy nie powinni całkowicie polegać na pakiecie XProtect firmy Apple, ponieważ jego zadaniem jest wykrywanie znanych zagrożeń. Bardziej zaawansowane lub wyrafinowane ataki mogą z łatwością ominąć wykrywanie. Zdecydowanie zalecam korzystanie z narzędzi do wykrywania i usuwania złośliwego oprogramowania innych firm.
O Ugryzienie bezpieczeństwa: Security Bite to cotygodniowa kolumna poświęcona bezpieczeństwu na 9to5Mac. Co tydzień, Arina Waichulisa zapewnia wgląd w prywatność danych, odkrywa luki w zabezpieczeniach i rzuca światło na pojawiające się zagrożenia w rozległym ekosystemie Apple obejmującym ponad 2 miliardy aktywnych urządzeńS. Bądź bezpiecznybądź bezpieczny.
Więcej w tej serii
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.