Erweitertes Handbuch zum Verständnis von Mac OS X Malware

Hinweis: Dies ist ein erweitertes Thema für Mac-Experten . Macs gelten im Allgemeinen als sicher, zumindest im Vergleich zur alternativen Windows-Welt. Aber obwohl Macs in der Regel sicherer sind als Windows, gibt es trotz GateKeeper, XProtect, Sandboxing und Code-Signaturen immer noch das legitime Potenzial, dass Malware auf OS X übertragen wird. Das erklärt diese hervorragende Präsentation von Patrick Wardle, dem Leiter der Forschungsabteilung bei Synack, einem Anbieter von Internetsicherheitslösungen, recht gut. Er bietet einen durchdachten und detaillierten Einblick in die aktuellen Sicherheitsimplementierungen von OS X und wie diese durch bösartige Angriffe umgangen werden könnten Absicht, einen Mac anzugreifen. Darüber hinaus geht die Synack-Übersicht weiter und bietet ein Open-Source-Skript mit dem Namen KnockKnock, das alle OS X-Binärdateien anzeigt, die beim Systemstart ausgeführt werden. Erfahrene Benutzer können damit möglicherweise überprüfen und überprüfen, ob etwas Schattiges auf einem Mac ausgeführt wird.

Das ausgezeichnete Dokument mit dem Titel "METHODS of MALWARE PERSISTENCE auf OS X" ist in fünf Hauptteile unterteilt:

  • Hintergrund der integrierten OS X-Schutzmethoden, einschließlich GateKeeper, Xprotect, Sandboxing und Codesignierung
  • Verständnis des Mac-Boot-Prozesses von Firmware zu OS X
  • Methoden, mit denen Code beim Neustart und bei der Benutzeranmeldung dauerhaft ausgeführt werden kann, einschließlich Kernel-Erweiterungen, Start von Daemons, Cron-Jobs, gestarteten und Startup- und Login-Elementen
  • Spezifische OS X Malware-Beispiele und ihre Funktionsweise, einschließlich Flashback, Crisis, Janicab, Yontoo und Rogue AV-Produkte
  • KnockKnock - ein Open-Source-Programm, das nach zweifelhaften Binärdateien, Befehlen, Kernel-Erweiterungen usw. sucht, die fortgeschrittenen Benutzern bei Erkennung und Schutz helfen können

Falls es nicht schon offensichtlich war; Dies ist alles ziemlich fortgeschritten, richtet sich an Experten und Einzelpersonen in der Sicherheitsindustrie. Der durchschnittliche Mac-Benutzer ist nicht die Zielgruppe für diese Präsentation, das Dokument oder das KnockKnock-Tool (aber sie können hier einige allgemeine Tipps zum Mac-Malware-Schutz befolgen). Dies ist ein technisches Dokument, das einige sehr spezifische potenzielle Angriffsvektoren und mögliche Bedrohungen für OS X beschreibt. Es richtet sich an fortgeschrittene Mac-Benutzer, IT-Mitarbeiter, Sicherheitsforscher, Systemadministratoren und Entwickler, die die Risiken von OS besser verstehen wollen X, und lernen Sie Wege, diese Risiken zu erkennen, zu schützen und abzuwehren.

  • Synack-Präsentation: OS X Malware-Persistenz (direkter PDF-Dokument-Link)
  • KnockKnock: Skript zum Anzeigen persistenter Binärdateien, die auf OS X Booten ausgeführt werden sollen (Open Source auf Github)

Die gesamte Synack Malware-Präsentation umfasst 56 detaillierte Seiten in einer 18 MB großen PDF-Datei. Darüber hinaus ist das KnockKnock-Python-Skript auf GitHub zur Verwendung und Exploration verfügbar. Beides ist einen Blick wert für fortgeschrittene Mac-Anwender, die Risiken für OS X besser verstehen, weitergeben wollen!