Avansert veiviser for å forstå Mac OS X Malware

Merk: Dette er et avansert emne rettet mot ekspert Mac-brukere . Macer er generelt tenkt på så sikre, sikkert minst i forhold til den alternative verden av Windows. Men virkeligheten er at mens Mac-maskiner er generelt sikrere enn Windows, er det fortsatt legitimt potensial for skadelig programvare som kommer til OS X, til tross for GateKeeper, XProtect, sandboxing og kodesignering. Det er hva denne utmerkede presentasjonen fra Patrick Wardle, forskningsdirektør ved Synack, en leverandør av nettverkssikkerhetsløsninger, forklarer ganske bra, og gir et gjennomtenkt og detaljert utseende av de nåværende sikkerhetsimplementasjonene som er innebygd i OS X, og hvordan de kan omgåes av ondsinnede hensikt å angripe en Mac. I tillegg går Synack-oversikten videre og gir et åpen kildekode-skript kalt KnockKnock, som viser alle OS X-binarier som er satt til å utføres ved systemstart, og som kan hjelpe avanserte brukere til å undersøke og kontrollere om noe skyggefullt kjører på en Mac.

Det utmerkede dokumentet, med tittelen "METHODS OF MALWARE PERSISTENCE på OS X", er delt inn i fem hoveddeler:

  • Bakgrunn for OS X innebygde beskyttelsesmetoder, inkludert GateKeeper, Xprotect, sandboxing og kodesignering
  • Forstå Mac-oppstartsprosessen, fra fastvare til OS X
  • Metoder for å få kode til vedvarende å kjøre på omstart og brukerlogg, inkludert kjerneutvidelser, start daemoner, cronjobber, lansert og oppstart og påloggingselementer.
  • Spesifikke OS X Malware-eksempler og hvordan de virker, inkludert Flashback, Crisis, Janicab, Yontoo og rogue AV-produkter
  • KnockKnock - et åpen kildekodeverktøy som skanner for tvilsomme binærprogrammer, kommandoer, kjernevidelser, etc., som kan hjelpe avanserte brukere i gjenkjenning og beskyttelse

I tilfelle det ikke allerede var åpenbart; Dette er alt ganske avansert, rettet mot ekspertbrukere og enkeltpersoner i sikkerhetsbransjen. Den gjennomsnittlige Mac-brukeren er ikke målgruppen for dette presentasjons-, dokument- eller KnockKnock-verktøyet (men de kan følge noen generelle tips for Mac-malwarebeskyttelse her, men). Dette er et teknisk dokument som skisserer noen svært spesifikke potensielle angrepsvektorer og mulige trusseltakere til OS X, det er virkelig rettet mot avanserte Mac-brukere, IT-arbeidere, sikkerhetsforskere, systemadministratorer og utviklere som ønsker å bedre forstå risikoen for OS X, og lære måter å oppdage, beskytte og beskytte mot disse risikoene.

  • Synack Presentasjon: OS X Malware Persistence (direkte PDF doc link)
  • KnockKnock: Skript for å vise vedvarende binærfiler som er satt til å kjøre på OS X-oppstart (åpen kildekode på Github)

Hele Synack Malware-presentasjonen er 56 detaljerte sider lenge i en 18 MB PDF-fil. I tillegg er KnockKnock python-skriptet tilgjengelig på GitHub for bruk og utforskning. Begge disse er vel verdt å se etter avanserte Mac-brukere som ønsker å bedre forstå risiko for OS X, send det sammen!