Avancerad guide till förståelse av Mac OS X Malware

Obs! Det här är ett avancerat ämne riktat till expert Mac-användare . Macar anses allmänt vara säkra, säkert åtminstone i jämförelse med den alternativa världen av Windows. Men verkligheten är att medan Mac-datorer i allmänhet är säkrare än Windows, finns det fortfarande legitim potential för skadlig programvara genom att komma till OS X, trots GateKeeper, XProtect, sandboxing och code signing. Det är vad denna utmärkta presentation från Patrick Wardle, forskningschef vid Synack, en leverantör av säkerhetslösningar för Internet, förklarar ganska bra och erbjuder ett genomtänkt och detaljerat utseende av de nuvarande säkerhetsimplementationerna som är inbyggda i OS X och hur de kan kringgås av skadliga avsikt att attackera en Mac. Dessutom går Synack-översikten vidare och ger ett open source-skript som heter KnockKnock, som visar alla OS X-binärer som är inställda att utföras vid systemstart, vilket kan hjälpa avancerade användare att undersöka och verifiera om någonting skuggigt körs på en Mac.

Det utmärkta dokumentet, med titeln "METALER MALWARE PERSISTENCE på OS X", är uppdelad i fem huvuddelar:

  • Bakgrund till OS X inbyggda skyddsmetoder, inklusive GateKeeper, Xprotect, sandboxing och kodsignering
  • Förstå Mac-startprocessen, från firmware till OS X
  • Metoder för att få kod att fortsätta springa på omstart och användarinloggning, inklusive kärnförlängningar, starta daemoner, cronjobb, lanserade och start och inloggningsobjekt
  • Specifika OS X Malware-exempel och hur de fungerar, inklusive Flashback, Crisis, Janicab, Yontoo och rogue AV-produkter
  • KnockKnock - ett open source-verktyg som skannar för tvivelaktiga binärer, kommandon, kärnförlängningar, etc., vilket kan hjälpa avancerade användare att upptäcka och skydda

Om det inte redan var uppenbart; Detta är allt ganska avancerat, riktat till expertanvändare och enskilda inom säkerhetsbranschen. Den genomsnittliga Mac-användaren är inte målgruppen för det här presentations-, dokument- eller KnockKnock-verktyget (men de kan följa några allmänna tips för Mac-malware-skydd här, dock). Detta är ett tekniskt dokument som beskriver vissa väldigt specifika potentiella angreppsvektorer och möjliga hot till OS X. Det riktar sig verkligen till avancerade Mac-användare, IT-arbetare, säkerhetsforskare, systemadministratörer och utvecklare som vill bättre förstå riskerna med operativsystemet X, och lär dig sätt att upptäcka, skydda och skydda mot dessa risker.

  • Synack Presentation: OS X Malware Persistence (direkt PDF doc länk)
  • KnockKnock: Skript för att visa uthålliga binärer som är inställda att köras på OS X-start (öppen källkod på Github)

Hela Synack Malware-presentationen är 56 detaljerade sidor långt i en 18 MB PDF-fil. Dessutom är KnockKnock python-skriptet tillgängligt på GitHub för användning och utforskning. Båda dessa är väl värda en blick för avancerade Mac-användare som vill bättre förstå riskerna för OS X, skicka den vidare!