一直以来,Mac系统及终端设备的最大卖点之一就是它很少受到网络病毒感染的困扰。虽然到目前为止,Mac系统还是要比windows、Android等系统更安全,但已经有很多真实的案例证明,macOS的安全问题需要企业组织给予更多关注和重视。
据SentinelOne公司在2022年开展的调查数据显示,运行macOS终端的企业组织正在面临更多的安全威胁,其中安全后门数量和跨平台攻击框架在快速增长,以CrateDepression、PyMafka、ChromeLoader等为代表的Mac版恶意软件已经通过多种途径感染了大量企业用户的办公设施。而且,有许多macOS威胁采用的感染途径仍然不为人知,研究人员常常只能通过一些偶然的机会发现恶意软件,或者在ViRustotal等恶意软件存储库中发现样本。
为了帮助企业制定更可靠的macOS安全防护策略,以下收集整理了恶意软件危害macOS系统的7种主要途径。
大量macOS恶意软件通过免费工具下载网站来传播,比如torrent网站、共享软件网站、破解版应用程序网站或免费的第三方应用程序分发网站。
免费工具诱饵通常包括:
对于免费工具诱饵,攻击者可将其用于传播广告软件和捆绑包感染,最常见的情况是向用户提供免费或破解版应用程序;用户开始下载声称含有该应用程序的磁盘映像文件,但安装时发现它原来是Flash Player、AdobeFlashPlayer之类的应用程序。这些文件通常未签名,用户会得到介绍如何覆盖macOS Gatekeeper以启动它们的说明。
研究人员发现,最近有一些攻击者开始将用户引到Terminal以覆盖Gatekeeper,可能是为了绕过组织安全管理员部署的一些额外安全控制机制。有证据表明,Mac用户普遍认为浏览这类欺骗诱饵链接本身不危险,因为Mac系统“不容易感染病毒”。然而,这些网站会迅速将用户从安全搜索引到危险下载,而这些威胁常常被苹果内置的检测技术XProtect漏过。
企业应对通过这类途径实施的macOS恶意软件感染,可以采用如下措施:
网页上的恶意广告可以在用户的浏览器中运行隐藏代码,将受害者重定向到恶意威胁网站。在过去的一年,针对macOS用户的已知恶意广告活动主要包括ChromeLoader和oRAT。
ChromeLoader采用恶意Chrome扩展的形式,劫持用户的搜索引擎查询,安装侦听器以拦截出站浏览器流量,并向受害者投放广告软件。
oRAT是一个用Go编写的后门植入程序,被下载到受害者的机器上,实际上是一个未签名的磁盘映像(.dmg),却伪装成一系列Bitget应用程序。磁盘映像含有一个名为Bitget Apps的软件包和分发标识符com.adobe.pkg.Bitget。经过加密的数据被附加到含有C2 IP地址等配置数据的恶意二进制代码中。
应对通过恶意广告分发的macOS恶意软件威胁,企业可以采取如下措施:
macOS攻击者正在尝试更大规模感染、实施供应链攻击以及网络间谍活动,而应用系统开发者正是高价值的攻击目标。一旦开发者在无意中将恶意代码插入到用它构建的任何IOS应用程序中,许多受感染的应用程序就会在苹果应用商店发布。受感染的应用程序能够窃取敏感信息,比如设备的唯一标识符和用户的Apple ID,并在受感染的iOS设备上执行任意代码。
研究人员发现,攻击者目前正在企图通过共享代码来感染开发者。由于开发者希望提高工作效率,他们常常寻找共享代码,而不是尝试自行编写代码,以实施复杂的库或不熟悉的API调用。
很多有用的代码可以在Github等公共代码库中找到,但这些代码库也可能含有为攻击者打开后门的恶意软件或代码。以XcssET恶意软件为例,由于项目的****.xcworkspacdata被篡改,导致隐藏的恶意文件被引用执行,然后在开发者机器上实施多阶段感染,包括投放后门。
应对通过这个途径分发的macOS恶意软件威胁,企业可以采取以下措施:
如果攻击者攻击开源软件存储库,情况将变得更加严重。通过这些存储库共享的代码广泛用于各大企业组织的许多macOS版业务项目中,相应的安全审查工作存在大量薄弱环节。软件存储库容易受到误植域名攻击和依赖项混淆攻击。在一些情况下,合法软件包的所有权会被劫持或被转移给攻击者。例如:在2022年5月,流行的PyPI软件包PyKafka就遭到了恶意软件包PyMafka欺诈性域名攻击,其中包含了用于检查主机并确定操作系统的Python/ target=_blank class=infotextkey>Python脚本。
如果设备运行macOS,它会连接到C2,下载名为MacOs的Mach-O二进制文件,并以“zad”的名称将其写入到/private/var/tmp。二进制文件用UPX打包,经过混淆处理,投放了Cobalt Strike信标。
为了应对通过这个途径分发的威胁,安全团队可以采纳以下建议:
攻击软件包存储库可能会有严重深远的影响,但它们也很显眼,容易被发现。相比之下,一些企图更隐蔽投放恶意软件的攻击者,可能更喜欢将流行应用程序变成木马病毒。
2021年,百度搜索引擎中的某些链接被发现用来通过流行应用程序iTerm2的木马版本传播恶意软件。进一步调查后发现,攻击者还同时使用了微软Remote Desktop for Mac、Navicat和SecureCRT的木马版本。这些应用程序使用了不同于合法签名的开发者签名,以确保它们不被Gatekeeper阻止。除了替换原始代码签名外,攻击者还使用了名为libcrypt.2.dylib的应用程序包修改程序,可以监视本地环境、连接到C2服务器以及通过后门执行远程命令。
研究人员最近还发现了一种开源工具的恶意版本,旨在窃取受害者的密码和钥匙链,让攻击者可以全面访问macOS中用户的所有密码。开源工具Resign Tool常被开发者用来重新签名应用程序,并将它们捆绑成ipa文件安装到iOS设备上,这表明攻击者显然在有意识的感染开发者。
为了应对通过这个途径分发的威胁,企业可以采取的措施包括如下:
一种不太常见的感染途径,需要攻击者具备一定专业知识才能得逞,那就是利用浏览器漏洞感染中毒网站的访问者。浏览器上存在了一些危险的0day漏洞,即使被修复后,这些漏洞仍可能作为N-day漏洞来攻击未及时更新浏览器的企业。
最近发现的利用macOS漏洞并将其用于攻击的攻击者就Macma负责的一个APT组织。据谷歌TAG的研究人员称,Macma结合了WebKit中的N-day远程代码执行漏洞(CVE-2021-1789)和XNU中的0day本地特权升级漏洞(CVE-2021-30869)。这些漏洞用于在内存中加载和执行Mach-O二进制文件,能够逃脱Safari沙箱,提升特权,并从C2下载第二阶段载荷。
为了应对通过这个途径分发的威胁,企业组织可以采取以下措施:
前面讨论的一些感染途径已经被用于实施的软件供应链攻击,尤其是涉及木马应用程序、共享开发者代码和软件包存储库的攻击。早在2016年,流行的macOS torrent客户软件Trransmission就被发现感染上了macOS勒索软件。而在2022年,研究人员发现APT 27组织闯入了属于MiMi聊天应用程序的服务器,将恶意JAVAScript添加到了用于安装某流行聊天应用程序的磁盘映像中。当用户运行安装程序后,恶意软件会主动联系远程IP,以检索rshell二进制文件。
相比以上感染路径的防护,企业防御软件供应链攻击需要更加全面的安全策略,包括上述的大部分建议,同时还要特别关注以下建议:
企业应该注意某些告警信号,以确定macOS终端设备是否已被感染恶意软件:
▶ 检查macOS设备是否过热。当macOS设备过热时,可能是恶意应用程序在过度使用CPU资源和内存,从而导致设备自身过度工作。
▶ 检查macOS是否在使用过多数据。这是macOS已被入侵的最大迹象。虽.NETflix等应用程序通常会使用大量数据(因为高分辨率视频流属于数据密集型的应用程序),但是,当出现流量异常时要及时进行验证,需要检查macOS设备设置并查看每个应用程序使用了多少数据。
▶ 检查浏览器未打开的情况下,是否也会收到弹出窗口。如果用户未使用Safari、Chrome或其他浏览器应用程序,用户的macOS设备上不应出现弹出窗口。如果仍然弹出窗口,那么这是一个危险信号。
▶ 检查是否在macOS设备上看到奇怪的应用程序。如果看到一个不记得曾下载过的应用程序,那么这是设备上安装了恶意软件的另一个危险信号。
▶ 检查应用程序是否经常崩溃。当用户的设备上存在恶意软件时,它们往往会占用额外的计算资源,因此其他应用程序将无法正常运行并且更有可能崩溃。
▶ 检查电池耗电是否比平时快。如前所述,恶意软件应用程序往往会占用资源,因为它们正在传输和上传数据,或者在后端安装更多恶意软件。因此,用户的macOS设备将比平时更快地消耗电量。
▶ 检查macOS设备是否运行缓慢。这是检查macOS系统是否已感染恶意软件的最后标志。