长期以来,Mac系统和终端设备的最大卖点之一就是很少受到网络病毒感染的困扰。虽然到目前为止,Mac系统仍然比Windows、Android等系统更安全,但已经有很多真实案例证明,macOS的安全问题更需要企业组织的重视和重视。据SentinelOne2022年调查数据显示,运行macOS终端的企业组织面临更多安全威胁,其中安全后门和跨平台攻击框架的数量快速增长。版本型恶意软件通过各种方式感染了大量企业用户的办公设施。更重要的是,许多macOS威胁使用的感染媒介仍然未知,研究人员通常只是偶然发现恶意软件或在VirusTotal等恶意软件存储库中找到样本。macOS感染的主要途径为帮助企业制定更可靠的macOS安全防护策略,以下汇总了恶意软件危害macOS系统的7种主要途径。途径1:免费工具诱饵大量macOS恶意软件通过免费工具下载站点分发,例如torrent站点、共享软件站点、破解应用程序站点或免费的第三方应用程序分发站点。免费工具诱饵通常包括:破解版软件。体育直播网站;视频、游戏和音乐下载站点。数字版权管理(DRM)规避站点。其他非法内容网站。借助免费工具诱饵,攻击者可以使用它们来传播广告软件和捆绑感染,最常见的方式是向用户提供免费或破解版的应用程序;用户开始下载一个声称包含该应用程序的磁盘映像文件,但在安装时发现它竟然是FlashPlayer、AdobeFlashPlayer等应用程序。这些文件通常是未签名的,并且会向用户提供有关如何覆盖macOSGatekeeper以启用它们的说明。研究人员发现,一些攻击者最近开始将用户引导至终端以覆盖Gatekeeper,可能是为了绕过组织安全管理员实施的一些额外安全控制。有证据表明,Mac用户普遍认为浏览此类欺骗性链接本身并不危险,因为Mac系统“不易感染病毒”。但是,这些站点会迅速将用户从安全搜索引导到危险的下载,Apple的内置检测技术XProtect经常会漏掉这些威胁。建议企业采取以下措施应对通过此类方式实施的macOS恶意软件感染:通过MDM和应用程序允许/拒绝列表控制与软件下载相关的权限;通过MDM解决方案或安全产品访问限制对终端的访问;使用第三方安全工具来限制或阻止未签名代码的执行;使用端点保护软件来防止和检测已知的macOS恶意软件。途径2:针对Mac用户的恶意广告网页上的恶意广告可以在用户的??浏览器中运行隐藏代码,将受害者重定向到恶意威胁网站。在过去一年中,针对macOS用户的已知恶意广告活动主要包括ChromeLoader和oRAT。ChromeLoader采用恶意Chrome扩展程序的形式,劫持用户的搜索引擎查询,安装侦听器以拦截出站浏览器流量,并向受害者提供广告软件。oRAT是一个用Go语言编写的后门植入程序,它被下载到受害者的机器上,实际上是一个未签名的磁盘映像(.dmg),伪装成一系列Bitget应用程序。磁盘映像包含一个名为BitgetApps的包和一个分发标识符com.adobe.pkg.Bitget。加密数据附加到包含配置数据(例如C2IP地址)的恶意二进制代码。防护建议针对通过恶意广告传播的macOS恶意软件威胁,企业可以采取以下措施:使用防火墙和Web过滤器来阻止访问已知的恶意网站。在某些特殊情况下,可以设置防火墙策略,只访问一组授权的IP;使用广告拦截软件来阻止大部分广告的展示,但这可能会影响性能和对某些资源的访问;部署端点保护软件以防止和检测通过恶意广告传播的恶意代码执行。途径3:受感染的开发者项目macOS攻击者正在尝试进行更大规模的感染、供应链攻击和网络间谍活动,应用程序开发者是高价值目标。一旦开发人员无意中将恶意代码插入到任何使用它构建的iOS应用程序中,许多受感染的应用程序就会在AppleAppStore上发布。受感染的应用程序能够窃取敏感信息,例如设备的唯一标识符和用户的AppleID,并在受感染的iOS设备上执行任意代码。研究人员发现,攻击者目前正试图通过共享代码来感染开发人员。随着开发人员希望提高工作效率,他们通常会寻找共享代码,而不是尝试编写自己的代码来实现复杂的库或不熟悉的API调用。在Github等公共代码存储库中可以找到很多有用的代码,但这些存储库也可能包含恶意软件或为攻击者打开后门的代码。以XCSSET恶意软件为例,由于项目的****.xcworkspacdata被篡改,引用隐藏的恶意文件并执行,然后在开发者机器上进行多阶段感染,包括后门传递。防御建议为了应对通过此途径传播的macOS恶意软件威胁,组织可以采取以下措施:将开发环境与生产环境隔离;要求所有共享的开发人员项目在下载到公司设备之前经过审查和授权;实施安全开发实践,示例包括安全编程指南、代码审查和配套编程;加强开发者网络安全意识培训和宣传;以及使用端点保护软件来监控可疑和恶意代码的执行。途径四:攻击开源软件库如果攻击者攻击开源软件库,情况会更加严重。通过这些存储库共享的代码广泛应用于各大企业组织的众多macOS版本业务项目中,相应的安全审查工作存在大量薄弱环节。软件存储库容易受到域名仿冒和依赖混淆攻击。在某些情况下,合法软件包的所有权被劫持或转移给攻击者。例如:2022年5月,流行的PyPI包PyKafka遭到恶意包PyMafka欺骗域名的攻击,其中包含一段用于检查主机和判断操作系统的Python脚本。如果设备运行的是macOS,它会连接到C2,下载名为MacOs的Mach-O二进制文件,并将其写入名为“zad”的/private/var/tmp。二进制文件打包在UPX中,经过混淆处理,并丢弃了CobaltStrike信标。保护建议为了对抗通过此途径传播的威胁,安全团队可以采用以下建议:使用私有存储库并将包管理器配置为不默认使用公共存储库。需要代码签名来验证包的真实性。定期审核和验证来自外部来源的开源代码。途径五:攻击包存储库的木马应用程序可能会产生严重而深远的影响,但它们也很显眼且容易被发现。相比之下,一些寻求更隐蔽地传播恶意软件的攻击者可能更愿意将流行的应用程序变成特洛伊木马。2021年,百度搜索引擎中的某些链接被发现用于通过流行应用程序iTerm2的木马化版本传播恶意软件。进一步调查显示,攻击者还使用了MicrosoftRemoteDesktopforMac、Navicat和SecureCRT的木马化版本。这些应用程序使用与合法应用程序不同的开发人员签名,以确保它们不会被Gatekeeper阻止。除了替换原有的代码签名外,攻击者还使用了名为libcrypt.2.dylib的应用程序包修饰符,可以监控本地环境,连接C2服务器,通过后门执行远程命令。研究人员最近还发现了一个恶意版本的开源工具,旨在窃取受害者的密码和钥匙串,让攻击者能够完全访问macOS中用户的所有密码。开发者经常使用开源工具ResignTool对应用程序进行重新签名并打包成ipa文件安装到iOS设备上,可见攻击者明显是在有意识地感染开发者。防御建议为了应对通过此途径传播的威胁,组织可以采取的步骤包括:使用安全产品限制或阻止未签名代码的执行;使用端点保护软件防止和检测可疑或恶意代码执行。途径六:漏洞攻击一种不太常见的需要攻击者具备一定专业知识才能成功的感染途径是利用浏览器漏洞将访问者感染到中毒网站。浏览器存在一些危险的零日漏洞,即使修复后,这些漏洞仍可能被用作N-day漏洞来攻击不及时更新浏览器的企业。最近发现的利用macOS漏洞并利用其进行攻击的攻击者是Macma负责的一个APT组织。据GoogleTAG的研究人员称,Macma结合了WebKit中的N日远程代码执行漏洞(CVE-2021-1789)和XNU中的零日本地提权漏洞(CVE-2021-30869)。这些漏洞用于在内存中加载和执行Mach-O二进制文件,能够逃脱Safari沙箱、提升权限以及从C2下载第二阶段有效载荷。防护建议为了应对通过该渠道传播的威胁,企业组织可以采取以下措施:确保系统和应用程序处于最新状态,防止利用N-day漏洞的攻击。部署智能、主动的安全解决方案来检测零日感染链中的可疑行为。部署安全解决方案,支持在较长时间内对威胁和可追溯性进行关联分析。向量7:软件供应链攻击前面讨论的一些感染向量已用于实施软件供应链攻击,尤其是那些涉及特洛伊木马化应用程序、共享开发人员代码和软件包存储库的攻击。早在2016年,流行的macOSTorrent客户端Transmission被发现感染了macOS勒索软件。而在2022年,研究人员发现APT27组织侵入了属于MiMi聊天应用程序的服务器,将恶意JavaScript添加到用于安装流行聊天应用程序的磁盘映像中。用户运行安装程序后,恶意软件会主动联系远程IP以检索rshell二进制文件。防护建议与上述针对感染路径的防护相比,企业防御软件供应链攻击需要更全面的安全策略,包括上述大部分建议。他们有良好的安全措施;供应链安全的定期审计和验证,包括更新供应商和合作伙伴的最新变更文件;在整个组织内实施可靠的安全控制,包括使用下一代端点、云和身份管理安全控制措施;定期更新软件系统,修补漏洞。如何判断macOS是否被感染?企业应注意某些警告标志,以确定macOS端点设备是否已感染恶意软件:?检查macOS设备是否过热。当macOS设备过热时,可能是恶意应用程序过度使用CPU资源和内存,导致设备本身过度工作。?检查macOS是否使用过多数据。这是macOS遭到入侵的最大迹象。虽然Netflix等应用程序通常会使用大量数据(因为高分辨率视频流是数据密集型应用程序),但要在流量异常时及时验证,您需要检查macOS设备设置并查看使用情况每个应用程序。收集了多少数据。?检查您是否在浏览器未打开时收到弹出窗口。如果用户未使用Safari、Chrome或其他浏览器应用程序,则不应在用户的macOS设备上显示弹出窗口。如果它仍然弹出,那么它是一个危险信号。?检查您是否在macOS设备上看到奇怪的应用程序。如果你看到一个你不记得下载过的应用程序,那是你的设备上安装了恶意软件的另一个危险信号。?检查应用程序是否经常崩溃。当恶意软件出现在用户的设备上时,它们往往会占用额外的计算资源,因此其他应用程序将无法正常运行并且更有可能崩溃。?检查电池耗电是否比平时快。如前所述,恶意软件应用程序在传输和上传数据或在后端安装更多恶意软件时往往会占用资源。因此,用户的macOS设备将比平时更快地耗尽电池电量。?检查您的macOS设备是否运行缓慢。这是检查您的macOS系统是否已感染恶意软件的最后标志。
