Security Bite: Oto, jakie złośliwe oprogramowanie może usunąć Twój Mac

Zastanawiałeś się kiedyś co złośliwe oprogramowanie czy Twój Mac może wykryć i usunąć bez systemu innych firm? Niedawno badacze bezpieczeństwa powiązali niektóre dziwaczne reguły macOS YARA używane przez wbudowany pakiet XProtect z ich nazwami publicznymi. Oto jakiego złośliwego systemu szuka…

9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji oraz ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.

Co to jest XProtect?

XProtect został wprowadzony w 2009 roku jako część systemu macOS X 10.6 Snow Leopard. Początkowo został wydany w celu wykrywania i ostrzegania użytkowników w przypadku wykrycia złośliwego systemu w pliku instalacyjnym. Jednak z biegiem czasu stało się to zestawem narzędzi, w miarę jak Apple w dalszym ciągu rozwiązuje rosnący problem złośliwego systemu na swojej platformie.

Pakiet XProtect wykorzystuje wykrywanie oparte na sygnaturach YARA w celu identyfikowania i eliminowania złośliwego oprogramowania. YARA to popularne narzędzie typu open source stworzone przez badaczy złośliwego oprogramowania, które działa poprzez identyfikację złośliwego systemu na podstawie podobieństw kodu występujących w różnych rodzinach złośliwego oprogramowania. Apple często dodaje do tej puli aktualizacje zabezpieczeń.

Od macOS 14 SonomaXProtect składa się z trzech głównych komponentów:

1. XProtect wykrywa złośliwe oprogramowanie przy użyciu reguł YARA przy każdym pierwszym uruchomieniu aplikacji, zmianie lub aktualizacji jej sygnatur.
2. XProtectRemediator (XPR) może wykryć i usunąć złośliwe oprogramowanie, regularnie wykonując skanowanie YARA w okresach małej aktywności, które mają minimalny wpływ na procesor.
3. Usługa XProtectBehaviour (XBS) został dodany w najnowszej wersji systemu macOS i monitoruje zachowanie systemu w odniesieniu do krytycznych zasobów.

XProtectRemediator (XPR) obecnie składa się z 23 modułów skanujących, które działają niemal jednocześnie. Niestety większość ma ogólne lub wewnętrzne schematy nazewnictwa, które z zewnątrz nie mają większego sensu.

„Część naprawcza XProtect zawiera szereg plików wykonywalnych… każdy z nich jest ukierunkowany na określoną rodzinę złośliwego oprogramowania” – twierdzi. Aldenbadacz złośliwego oprogramowania, który niedawno poczynił znaczne postępy, stosując inżynierię wsteczną i identyfikując cztery moduły skanujące, zwane także narzędziami naprawczymi.

„Niektóre zasady mają znaczące nazwy, np XProtect_MACOS_PIRRIT_GENco jest oznaką systemu reklamowego Pirrit, podczas gdy inne mają charakter ogólny (XProtect_MACOS_2fc5997) lub wewnętrzne w Apple (XProtect_snowdrift).” Alden opisuje je bardziej szczegółowo GitHub.

Chociaż robi się to nie bez powodu, dla osób zainteresowanych dokładnym określeniem, jakiego złośliwego systemu szuka XPR, może być wyzwaniem.

Jak znaleźć XProtect?

XProtect jest domyślnie włączony w każdej wersji systemu macOS. Działa również na poziomie systemu, całkowicie w tle, więc nie jest wymagana żadna interwencja. Ale oto gdzie się znajduje:

1. W Macintosh HD, iść do Biblioteka > Apple > System > Biblioteka > CoreServices
2. Stąd możesz znaleźć środki zaradcze, klikając prawym przyciskiem myszy XProtect
3. Następnie kliknij Pokaż Zawartość opakowania
4. Zwiększać Spis treści > Zasoby
5. otwarty System operacyjny Mac

Korzystając z nowych i istniejących odkryć firmy Alden, Eklektyczna Firma Lekka udostępnił listę 14 z 23 modułów skanujących w aktualnej wersji XPR oraz ich powiązanie z publicznymi nazwami złośliwego oprogramowania. Tu jest kilka:

1. Adload to stary program ładujący oprogramowanie typu adware i pakiety z 2016 roku, który ma historię szybkich zmian, co pozwala mu uniknąć wykrycia statycznego. Zwykle osiąga trwałość dzięki fałszywej usłudze zainstalowanej w ~/Library/LaunchAgents/, a Phil Stokes daje pełniejsze szczegóły tutaj.
2. BadGacha pozostaje niezidentyfikowany, ale często zgłasza fałszywe alarmy dla aplikacji pomocniczych w niezłośliwych aplikacjach.
3. NiebieskiTop to fałszywa aplikacja WindowServer, która była częścią kampanii trojana-proxy badanej przez firmę Kaspersky pod koniec 2023 roku.
4. ZimnySnap jest lepiej znany jako SimpleTea, wieloplatformowy komponent, który był częścią ataku 3CX na łańcuch dostaw.
5. Crapyrator został zidentyfikowany jako Aktywator BkDr, znaleziony w wielu torrentach złamanych aplikacji, takich jak MarsEdit, DaisyDisk i SpamSieve. Wykorzystuje wyrafinowane metody, w charakterystyczny sposób instalując Activator.app w głównym folderze Aplikacje, pyta o hasło i używa go do wyłączania kontroli Gatekeepera, a następnie zabija Centrum powiadomień, aby zatrzeć ślady. Dalsze szczegóły są tu podane.
6. DubRobber jest znany szerzej jako XCSSET, wszechstronny i kłopotliwy trojan dropper, który często się zmienia, aby uniknąć wykrycia.
7. Eicar nie jest wcale złośliwym oprogramowaniem, ale standardowym, niezłośliwym testem metod wykrywania.

Gorąco polecam zapoznanie się z firmą The Eclectic Light Company pełna lista. Otwiera oczy widok niektórych procesów bezpieczeństwa wdrożonych przez firmę Apple. To powiedziawszy, użytkownicy nie powinni całkowicie polegać na pakiecie XProtect firmy Apple, ponieważ jego zadaniem jest wykrywanie znanych zagrożeń. Bardziej zaawansowane lub wyrafinowane ataki mogą z łatwością ominąć wykrywanie. Kontynuuj korzystanie z systemu antywirusowego innych firm.

O Ugryzienie bezpieczeństwa: Security Bite to cotygodniowa kolumna poświęcona bezpieczeństwu na 9to5Mac. Co tydzień, Arina Waichulisa zapewnia wgląd w prywatność danych, odkrywa luki w zabezpieczeniach i rzuca światło na pojawiające się zagrożenia w rozległym ekosystemie Apple obejmującym ponad 2 miliardy aktywnych urządzeńS. Bądź bezpiecznybądź bezpieczny.