Po wydaniu nowe bety w zeszłym tygodniu Apple wypuścił jedną z najważniejszych aktualizacji XProtect, jakie kiedykolwiek widziałem. Narzędzie do wykrywania złośliwego systemu macOS dodało 74 nowe reguły wykrywania Yara, wszystkie wymierzone w jedno zagrożenie – Adload. A więc o co dokładnie chodzi i dlaczego Apple uważa to za taki problem?
9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.
XProtect, Yara rządzi, co?
XProtect został wprowadzony w 2009 roku jako część systemu macOS X 10.6 Snow Leopard. Początkowo został wydany w celu wykrywania i ostrzegania użytkowników w przypadku wykrycia złośliwego systemu w pliku instalacyjnym. Jednak XProtect ostatnio znacząco ewoluował. Wycofanie długoletniego narzędzia Malware Removal Tool (MRT) w kwietniu 2022 r. spowodowało pojawienie się XProtectRemediator (XPR), wydajniejszego natywnego komponentu chroniącego przed złośliwym oprogramowaniem, odpowiedzialnego za wykrywanie i eliminowanie zagrożeń na komputerach Mac.
Od macOS 14 SonomaXProtect składa się z trzech głównych komponentów:
- The XProtect samą aplikację, która może wykryć złośliwe oprogramowanie przy użyciu reguł Yara przy każdym pierwszym uruchomieniu aplikacji, zmianie lub aktualizacji jej podpisów.
- XProtectRemediator jest bardziej proaktywny i może zarówno wykrywać, jak i usuwać złośliwe oprogramowanie dzięki regularnych skanów Yara. Występują one w tle w okresach niskiej aktywności i mają minimalny wpływ na procesor.
- Usługa XProtectBehaviour (XBS) został dodany w najnowszej wersji systemu macOS i monitoruje zachowanie systemu w odniesieniu do krytycznych zasobów.
Pakiet XProtect wykorzystuje wykrywanie oparte na sygnaturach Yara do identyfikowania złośliwego oprogramowania. Yara samo w sobie jest szeroko stosowanym narzędziem typu open source, które identyfikuje pliki (w tym złośliwe oprogramowanie) na podstawie określonych cech i wzorców w kodzie lub metadanych. Wspaniałe w zasadach Yara jest to, iż każda organizacja lub osoba może tworzyć własne i wykorzystywać je, łącznie z Apple.
Firma używa głównie ogólnych lub wewnętrznych schematów nazewnictwa w XProtect, które zaciemniają prawdziwe nazwy złośliwego oprogramowania. To sprawia, iż ich identyfikacja jest nieco trudna. Dziękuję, Apple (wzdycha). Niektórym regułom nadano znaczące nazwy, takie jak XProtect_MACOS_PIRRIT_GEN, sygnatura służąca do wykrywania systemu reklamowego Pirrit. Istnieją jednak również bardziej ogólne zasady, takie jak XProtect_MACOS_2fc5997 lub wewnętrzne, takie jak XProtect_snowdrift.
Phila Stokesa z Sentinal One Labs zarządza się pod ręką repozytorium na GitHubie który odwzorowuje te zaciemnione nazwy rodzin złośliwego systemu na popularne nazwy branżowe. Gorąco polecam rzucić okiem.
Adload Wars: Apple kontratakuje
Wygląda na to, iż dzięki XProtect v2192 Apple może teraz wykryć całą bazę kodu Adload i każdą istniejącą odmianę niegdyś szeroko rozpowszechnionego modułu ładującego oprogramowanie reklamowe i pakietowe, którego celem byli użytkownicy systemu macOS od 2017 r. dla wszystkich, kto śledził tę sagę, było to już dawno spóźnione.
Gdy Adload infiltruje komputer Mac (tj. oszukuje użytkownika legalnym oprogramowaniem), przejmuje wyniki wyszukiwania, wprowadzając własne reklamy i polecając użytkownikom odwiedzanie witryn, które mogą uiścić opłatę ugrupowaniom zagrażającym. Jest to dodatek do wszelkich prywatnych informacji, które może gromadzić.
Co więcej, rodzinie szkodliwego systemu udało się ostatnio uniknąć wykrycia zarówno przez Gatekeepera, jak i XProtect, stwierdzono, iż jest „podpisana” certyfikatem programisty Apple i „notarialnie potwierdzona”, a do zeszłego tygodnia wiele szczepów nie spełniało wymagań profile złośliwego systemu w bazie danych XProtect. Bez wątpienia spowodowało to prawdziwy ból głowy dla zespołów ds. bezpieczeństwa Apple, które, jak sobie wyobrażam, z wielką euforią przesłały 74 nowe reguły.
Przede wszystkim jest to ogromna korzyść dla codziennych użytkowników komputerów Mac, którzy działają bez systemu do wykrywania i usuwania złośliwego systemu innych firm.
Domyślnie XProtect aktualizuje się automatycznie. Aktualizacja do najnowszej wersji systemu macOS Sonoma nie jest konieczna, ale przez cały czas jest zdecydowanie zalecana!
Więcej w tej serii
Podążaj za Arinem: Twitterze/X, LinkedIn, Wątki
FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.
