Security Bite: oto, jakie złośliwe oprogramowanie może wykryć i usunąć Twój Mac

cyberfeed.pl 1 tydzień temu


Zastanawiałeś się kiedyś co złośliwe oprogramowanie macOS może wykryć i usunąć bez pomocy systemu innych firm? Apple stale dodaje nowe reguły wykrywania złośliwego systemu do wbudowanego pakietu XProtect na komputerze Mac. Chociaż większość nazw reguł (podpisów) jest zaciemniona, badacze bezpieczeństwa mogą przypisać je do popularnych nazw branżowych przy odrobinie inżynierii odwrotnej. Zobacz poniżej, jakie złośliwe oprogramowanie może usunąć Twój Mac!

9to5Mac Security Bite jest dostarczany wyłącznie przez Mosyle, jedyna zunifikowana platforma Apple. Wszystko, co robimy, to sprawianie, iż urządzenia Apple są gotowe do pracy i bezpieczne dla przedsiębiorstw. Nasze unikalne zintegrowane podejście do zarządzania i bezpieczeństwa łączy najnowocześniejsze rozwiązania bezpieczeństwa specyficzne dla Apple, zapewniające w pełni zautomatyzowane wzmacnianie i zgodność, EDR nowej generacji, Zero Trust oparte na sztucznej inteligencji i ekskluzywne zarządzanie uprawnieniami z najpotężniejszym i najnowocześniejszym rozwiązaniem Apple MDM w sklepie. Rezultatem jest całkowicie zautomatyzowana ujednolicona platforma Apple, której w tej chwili zaufało ponad 45 000 organizacji, dzięki której miliony urządzeń Apple są gotowe do pracy bez wysiłku i po przystępnej cenie. Poproś o ROZSZERZONY okres próbny już dziś i zrozum, dlaczego Mosyle to wszystko, czego potrzebujesz do pracy z Apple.

XProtect, Yara rządzi, co?

XProtect został wprowadzony w 2009 roku jako część systemu macOS X 10.6 Snow Leopard. Początkowo został wydany w celu wykrywania i ostrzegania użytkowników w przypadku wykrycia złośliwego systemu w pliku instalacyjnym. Jednak XProtect ostatnio znacząco ewoluował. Wycofanie długoletniego narzędzia Malware Removal Tool (MRT) w kwietniu 2022 r. spowodowało pojawienie się XProtectRemediator (XPR), wydajniejszego natywnego komponentu chroniącego przed złośliwym oprogramowaniem, odpowiedzialnego za wykrywanie i eliminowanie zagrożeń na komputerach Mac.

Pakiet XProtect wykorzystuje wykrywanie oparte na sygnaturach Yara do identyfikowania złośliwego oprogramowania. Yara samo w sobie jest szeroko stosowanym narzędziem typu open source, które identyfikuje pliki (w tym złośliwe oprogramowanie) na podstawie określonych cech i wzorców w kodzie lub metadanych. Wspaniałe w zasadach Yara jest to, iż każda organizacja lub osoba może tworzyć własne i wykorzystywać je, łącznie z Apple.

Od macOS 14 Sonomapakiet XProtect składa się z trzech głównych komponentów:

  1. The XProtect samą aplikację, która może wykryć złośliwe oprogramowanie przy użyciu reguł Yara przy każdym pierwszym uruchomieniu aplikacji, zmianie lub aktualizacji jej podpisów.
  2. XProtectRemediator (XPR) jest bardziej proaktywny i może zarówno wykrywać, jak i usuwać złośliwe oprogramowanie, między innymi poprzez regularne skanowanie przy użyciu reguł Yara. Występują one w tle w okresach niskiej aktywności i mają minimalny wpływ na procesor.
  3. Usługa XProtectBehaviour (XBS) został dodany w najnowszej wersji systemu macOS i monitoruje zachowanie systemu w odniesieniu do krytycznych zasobów.

Niestety, Apple w większości używa ogólnych, wewnętrznych schematów nazewnictwa w XProtect, które zaciemniają popularne nazwy złośliwego oprogramowania. Chociaż robi się to nie bez powodu, stanowi to trudne zadanie dla osób ciekawych, jakie dokładnie złośliwe oprogramowanie może zidentyfikować XProtect.

Na przykład niektóre reguły Yara mają bardziej oczywiste nazwy, takie jak XProtect_MACOS_PIRRIT_GEN, sygnatura służąca do wykrywania systemu reklamowego Pirrit. Jednak w XProtect znajdziesz w dużej mierze bardziej ogólne reguły, takie jak XProtect_MACOS_2fc5997 i wewnętrzne podpisy, które znają tylko inżynierowie Apple, takie jak XProtect_snowdrift. To jest to, co lubią badacze bezpieczeństwa Phila Stokesa I Alden Wejdź.

Phil Stokes z Sentinel One Labs radzi sobie świetnie repozytorium na GitHubie który odwzorowuje te zaciemnione podpisy używane przez Apple na bardziej popularne nazwy używane przez dostawców i znajdowane w publicznych skanerach złośliwego oprogramowania, takich jak VirusTotal. Co więcej, Alden niedawno stworzył znaczące postępy w zrozumieniu działania XPR poprzez wyodrębnienie reguł Yara z plików binarnych modułu skanującego.

Jakie złośliwe oprogramowanie może usunąć macOS?

Choć sama aplikacja XProtect może jedynie wykrywać i blokować złośliwe oprogramowanie, jej usunięcie sprowadza się do modułów skanujących XPR. w tej chwili w aktualnej wersji XPR (v133) możemy zidentyfikować 14 z 23 remediatorów:

23 moduły skanujące w XProtectRemdiator v133
  1. Ładowanie: Moduł ładujący oprogramowanie reklamowe i pakietowe skierowane do użytkowników systemu macOS od 2017 r. Adload był w stanie uniknąć wykrycia przed główna aktualizacja XProtect która dodała 74 nowe reguły wykrywania Yara, wszystkie wycelowane w złośliwe oprogramowanie.
  2. BadGacha: Jeszcze nie zidentyfikowano.
  3. NiebieskiTop: „Wygląda na to, iż BlueTop to kampania trojana proxy, którą Kaspersky zajmował się pod koniec 2023 r.” mówi Alden.
  4. Kartonowe wycinanki: Jeszcze nie zidentyfikowany.
  5. ZimnySnap: „ColdSnap prawdopodobnie szuka wersji złośliwego systemu SimpleTea dla systemu macOS. Było to również powiązane z włamaniem do 3CX i ma takie same cechy jak warianty Linux i Windows.” SimpleTea (SimplexTea w systemie Linux) to trojan dostępu zdalnego (RAT), który prawdopodobnie pochodzi z KRLD.
  6. Crapyrator: Crapyrator został zidentyfikowany jako macOS.Bkdr.Activator. Jest to kampania złośliwego systemu wykryta w lutym 2024 r., która „infekuje użytkowników systemu macOS na masową skalę, potencjalnie w celu utworzenia botnetu dla systemu macOS lub dostarczania innego szkodliwego systemu na dużą skalę” – stwierdza Phil Stokes dla Sentinel One.
  7. DubRobber: Niepokojący i wszechstronny trojan dropper znany również jako XCSSET.
  8. Eicar: A nieszkodliwy plik który został celowo zaprojektowany tak, aby uruchamiał skanery antywirusowe bez powodowania szkody.
  9. FloppyFlipper: Jeszcze nie zidentyfikowano.
  10. Genieo: Bardzo często udokumentowany potencjalnie niechciany program (PUP). Do tego stopnia, iż ​​ma choćby własną stronę w Wikipedii.
  11. ZielonyAkr: Jeszcze nie zidentyfikowany.
  12. Kradzież klucza: KeySteal to narzędzie do kradzieży informacji dla systemu macOS zaobserwowane po raz pierwszy w 2021 r. i dodane do XProtect w lutym 2023 r.
  13. MRTv3: Jest to zbiór komponentów do wykrywania i usuwania złośliwego oprogramowania, wykorzystanych w XProtect od jego poprzednika, narzędzia do usuwania złośliwego systemu (MRT).
  14. Pirrit: Pirrit to oprogramowanie reklamowe dla systemu masOS, które pojawiło się po raz pierwszy w 2016 roku. Wiadomo, iż wstrzykuje wyskakujące reklamy na strony internetowe, zbiera dane przeglądarki prywatnych użytkowników, a choćby minimalizuje ranking wyszukiwania, aby przekierowywać użytkowników na złośliwe strony.
  15. RangaStank: „Ta reguła jest jedną z bardziej oczywistych, ponieważ obejmuje ścieżki do złośliwych plików wykonywalnych znalezionych w incydencie 3CX” – mówi Alden. 3CX był atakiem na łańcuch dostaw przypisywanym Grupie Lazarus.
  16. Sosna czerwona: Z mniejszą pewnością Alden stwierdza, iż ​​RedPine jest prawdopodobnie odpowiedzią na TriangleDB z Operacji Triangulacja.
  17. Lot Roacha: Jeszcze nie zidentyfikowano.
  18. Zamiana owiec: Jeszcze nie zidentyfikowano.
  19. PokażBeagle: Jeszcze nie zidentyfikowany.
  20. Zaspa: Zidentyfikowany jako CloudMensis Oprogramowanie szpiegowskie dla systemu MacOS.
  21. Upuszczenie zabawki: Jeszcze nie zidentyfikowany.
  22. Trovi: Podobny do Pirrita, Trovi to kolejny wieloplatformowy porywacz przeglądarki. Wiadomo, iż przekierowuje wyniki wyszukiwania, śledzi historię przeglądania i wstawia własne reklamy do wyszukiwania.
  23. Sieć wodna: Jeszcze nie zidentyfikowany.

Jak znaleźć XProtect?

XProtect jest domyślnie włączony w każdej wersji systemu macOS. Działa również na poziomie systemu, całkowicie w tle, więc nie jest wymagana żadna interwencja. Aktualizacje XProtect również realizowane są automatycznie. Oto gdzie się znajduje:

  1. W Macintosh HD, iść do Biblioteka > Apple > System > Biblioteka > CoreServices
  2. Stąd możesz znaleźć środki zaradcze, klikając prawym przyciskiem myszy XProtect
  3. Następnie kliknij Pokaż Zawartość opakowania
  4. Zwiększać Zawartość
  5. otwarty System operacyjny Mac

Uwaga: użytkownicy nie powinni całkowicie polegać na pakiecie XProtect firmy Apple, ponieważ jego zadaniem jest wykrywanie znanych zagrożeń. Bardziej zaawansowane lub wyrafinowane ataki mogą z łatwością ominąć wykrywanie. Zdecydowanie zalecam korzystanie z narzędzi do wykrywania i usuwania złośliwego systemu innych firm.

O Ugryzienie bezpieczeństwa: Security Bite to cotygodniowa kolumna poświęcona bezpieczeństwu na 9to5Mac. Co tydzień, Arina Waichulisa zapewnia wgląd w prywatność danych, odkrywa luki w zabezpieczeniach i rzuca światło na pojawiające się zagrożenia w rozległym ekosystemie Apple obejmującym ponad 2 miliardy aktywnych urządzeńS. Bądź bezpiecznybądź bezpieczny.

Więcej w tej serii

FTC: Korzystamy z automatycznych linków partnerskich generujących dochód. Więcej.





Source link

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Security Bite: oto, jakie złośliwe oprogramowanie może wykryć i usunąć Twój Mac

Powiązane

10 minut – tyle wystarczy, by zainfekować system Windows XP

10 minut – tyle wystarczy, by zainfekować system Windows XP

15 godzin temu
Wyłudzali buty w Internecie. Wpadli na gorącym uczynku

Wyłudzali buty w Internecie. Wpadli na gorącym uczynku

1 dzień temu
DKWOC na międzynarodowych ćwiczeniach cyberobrony

DKWOC na międzynarodowych ćwiczeniach cyberobrony

1 dzień temu
Ujawniono lukę w zabezpieczeniach: Defendera w systemie Windows można tak łatwo oszukać

Ujawniono lukę w zabezpieczeniach: Defendera w systemie Wind...

1 dzień temu
T‑Mobile Polska zalicza dynamiczny początek 2024 roku, poprawiając wszystkie najważniejsze wskaźniki operacyjne i finansowe

T‑Mobile Polska zalicza dynamiczny początek 2024 roku, popra...

1 dzień temu
Zaproś Niebezpiecznika do swojej firmy!

Zaproś Niebezpiecznika do swojej firmy!

2 dni temu
Aż 79% liderów ds. cyberbezpieczeństwa odczuwa presję by bagatelizować powagę zagrożeń – raport Trend Micro

Aż 79% liderów ds. cyberbezpieczeństwa odczuwa presję by bag...

2 dni temu
Korzystasz z laptopa w podróży? Pamiętaj o tych zasadach

Korzystasz z laptopa w podróży? Pamiętaj o tych zasadach

3 dni temu
Windows bez irytującego błędu. Microsoft się nie spieszył

Windows bez irytującego błędu. Microsoft się nie spieszył

3 dni temu

Polecane

Zamach na Słowacji. „Pierwszy błąd popełnił premier”

Zamach na Słowacji. „Pierwszy błąd popełnił premier”

2 dni temu
Nowe fotoradary zmierzą nie tylko twoją prędkość, ale także hałas, jaki generujesz

Nowe fotoradary zmierzą nie tylko twoją prędkość, ale także ...

2 dni temu
Co pokazały firmy podczas Targów Securex 2024? (cz. 1)

Co pokazały firmy podczas Targów Securex 2024? (cz. 1)

3 dni temu
(FOTO) Granaty z czasów wojny znalezione w Marcinowicach. Przyjechali saperzy

(FOTO) Granaty z czasów wojny znalezione w Marcinowicach. Pr...

4 dni temu
Dzień otwarty w BOA

Dzień otwarty w BOA

1 tydzień temu
Ambasador Izraela gratuluje polskiemu rządowi. „Czekamy na wyniki”

Ambasador Izraela gratuluje polskiemu rządowi. „Czekamy na w...

2 tygodni temu
Prokuratura o śledztwach dotyczących Orlenu. Z dużej chmury bardzo mały deszcz

Prokuratura o śledztwach dotyczących Orlenu. Z dużej chmury ...

2 tygodni temu
Postępowania ws. Orlenu. „Sprawa wymaga rozliczenia”

Postępowania ws. Orlenu. „Sprawa wymaga rozliczenia”

2 tygodni temu
Wrocławska policja – czarny punkt czy źrenica?

Wrocławska policja – czarny punkt czy źrenica?

2 tygodni temu