Укус безопасности: вот какое вредоносное ПО, ваш Mac, может обнаружить и удалить на своем

Вы когда-нибудь задумывались, какие вредоносные программы могут обнаружить и удалять без помощи от стороннего программного обеспечения? Apple непрерывно добавляет новые правила обнаружения вредоносных программ во встроенный Suite Mac XProtect. В то время как большинство имен правил (подписи) запутываются, с небольшим количеством реверсивного инженера, исследователи безопасности могут составить их с их общими именами отрасли.

В этом издании 9to5mac Укус безопасностиЯ возвращаюсь к истории, над которой я начал работать в мае 2024 года. Поскольку Apple постоянно добавляет новые модули в свой набор Xprotect для борьбы с последними тенденциями вредоносных программ, я подозреваю, что этот столбец будет продолжать обновляться с течением времени. Вот какое вредоносное ПО, который может обнаружить и удалить самостоятельно:

---

9to5mac укус безопасности предоставляется исключительно вам Mosyle, единственная Apple Unified PlatformПолем Создание устройств Apple готова к работе, а Enterprise-это все, что мы делаем. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе современные решения для безопасности Apple для полностью автоматизированного упрочнения и соответствия, EDR Next Generation, AI-мощного Zero Trust и эксклюзивного управления привилегиями с самым мощным и современным Apple MDM на рынке. Результатом является полностью автоматизированная Apple Unified Platform, в настоящее время доверяемая более 45 000 организаций, чтобы сделать миллионы устройств Apple, готовые к работе без усилий и по доступной стоимости. Запросите расширенную пробную версию Сегодня и поймите, почему Мосил – это все, что вам нужно для работы с AppleПолем

---

О Укус безопасности: Укус безопасности-это еженедельная колонка, ориентированная на безопасность на 9to5mac. Каждую неделю, Арин Вачулис Предоставляет представление о конфиденциальности данных, раскрывает уязвимости и проливает свет на возникающие угрозы в обширной экосистеме Apple более 2 миллиардов активных устройствс ✌

Xprotect, правила Yara, а?

Xprotect был введен в 2009 году в рамках MacOS X 10,6 Snow Leopard. Первоначально он был выпущен для обнаружения и предупреждения пользователей, если вредоносное ПО было обнаружено в установленном файле. Тем не менее, Xprotect недавно развился значительно. Выход на пенсию давнего инструмента удаления вредоносных программ (MRT) в апреле 2022 года вызвало появление Xprotectremediator (XPR), более способного нативного анти-мельчайшего компонента, ответственного за обнаружение и исправление угроз на Mac.

Suite Xprotect использует обнаружение на основе подписи Yara для идентификации вредоносного ПО. Сама Yara является широко принятым инструментом с открытым исходным кодом, который идентифицирует файлы (включая вредоносное ПО) на основе конкретных характеристик и шаблонов в коде или метаданных. Что такого хорошего в правилах Yara, так это то, что любая организация или человек может создавать и использовать свои собственные, включая Apple.

По состоянию на MacOS 15 Sequoia, набор Xprotect состоит из трех основных компонентов:

1. А Xprotect App может обнаружить вредоносное ПО, используя правила YARA всякий раз, когда приложение впервые запускает, изменяет или обновляет свои подписи.
2. Xprotectremediator (XPR) более активно и может обнаружить и удалять вредоносное ПО при регулярном сканировании с помощью правил Yara, среди прочего. Они встречаются на заднем плане в периоды низкой активности и оказывают минимальное влияние на процессор.
3. Последняя версия MacOS включает Xprotectbehaviorservice (XBS), который контролирует поведение системы по отношению к критическим ресурсам.

К сожалению, Apple в основном использует общие схемы внутренних именования в XProtect, которые запутывают общие имена вредоносных программ. Хотя это делается по уважительной причине, это делает сложным для тех, кто любопытен точно знать, что может идентифицировать вредоносные программы Xprotect.

Например, некоторые правила Yara даются более очевидные имена, такие как xprotect_macos_pirrit_gen, подпись для обнаружения рекламного обеспечения Pirrit. Тем не менее, в XProtect вы в значительной степени найдете более общие правила, такие как xprotect_macos_2fc5997, и внутренние подписи, которые знали бы только инженеры Apple, такие как xprotect_snowdrift. Вот где нравятся исследования безопасности Фил Стоукс и Олден Войдите.

Фил Стоукс с Sentinel One Labs управляет удобным хранилищем на GitHub, который отображает эти запутанные подписи, используемые Apple для более распространенных имен, используемых поставщиками, и обнаруженные в общедоступных сканерах вредоносных программ, таких как virustotal. Более того, Alden недавно добился значительных достижений в понимании того, как работает XPR, извлекая правила Yara из двоичных файлов модуля сканирования.

Как мне найти Xprotect на моем Mac?

XProtect включен по умолчанию в каждой версии MacOS. Он также работает на системном уровне, полностью в фоновом режиме, поэтому вмешательство не требуется. Обновления в XProtect также происходят автоматически. Вот где он находится:

1. В Macintosh HDВ идти в Библиотека> Apple> Система> Библиотека> Coreservices
2. Отсюда вы можете найти исправления, щелкнув правой кнопкой Xprotect
3. Затем нажмите Показать содержимое пакета
4. Расширять Содержимое
5. Открыть MacOS

Note: Пользователи не должны полностью полагаться на набор Apple Xprotect, так как он создан для обнаружения известных угроз. Более продвинутые или сложные атаки могут легко обойти обнаружение. Я настоятельно советую использовать сторонние инструменты обнаружения и удаления вредоносных программ.

Какое вредоносное ПО это может удалить?

В то время как само приложение Xprotect может обнаружить только угрозы и блокировать угрозы, оно сводится к модулям сканирования XPR для удаления. В настоящее время мы можем идентифицировать 14 из 24 исправлений в текущей версии XPR (v151), чтобы не допустить вредоносного ПО.

1. ADLOAD: Adware и Bundleware Loader, нацеленные на пользователей MacOS с 2017 года. Adload была способна избежать обнаружения до основного обновления в прошлом прошлом в XProtect, в котором 74 новых правила обнаружения Yara были нацелены на вредоносное ПО.
2. Плохим: Еще не идентифицировано.
3. Bluetop: «Bluetop, по-видимому, является троянской прокроккой, которая была покрыта Касперским в конце 2023 года»,-говорит Олден.
4. Бундлор: Новый модуль, добавленный в декабре 2024 года. Название этого модуля не запутывается. Bundlore – это семейство общих рекламных капель, которые нацелены на системы MacOS. Многие сторонние сканеры вредоносных программ могут обнаружить бундлор и останавливаться в нем в реальном времени. Это не существенная угроза.
5. CardboardCutout: Этот модуль работает немного иначе, чем другие. Вместо того, чтобы сканировать для определенного типа вредоносных программ, CardboardCutout действует, создавая «вырез» вредоносных программ с известными подписями и останавливает его, прежде чем он получит возможность когда -либо работать в системе.
6. Coldsnap: «Coldsnap, вероятно, ищет версию Macos Simpletea Wholeware. Это также было связано с нарушением 3CX и общими признаками как с вариантами Linux, так и с Windows». Simpletea (Simplextea on Linux) – это троян с удаленным доступом (крыса), который, как полагают, произошел из КНДР.
7. Крапиратор: Крапиратор был идентифицирован как macos.bkdr.activator. Это вредоносная кампания, обнаруженная в феврале 2024 года, в которой «заражает пользователей MacOS в масштабе, потенциально с целью создания ботнета MacOS или доставки других вредоносных программ в масштабе», – говорится в Sentinel One Фил Стоукс для Sentinel One.
8. Dubrobber: Тревожная и универсальная троянская капельница, также известная как XCSSet.
9. EICAR: Безвредный файл, который преднамеренно предназначен для запуска антивирусных сканеров без вредного.
10. Флоппиппер: Еще не идентифицировано.
11. Genieo; Очень часто задокументированная потенциально нежелательная программа (PUP). Настолько, что у него даже есть своя страница в Википедии.
12. Greenacre: Еще не идентифицируется.
13. KeySteal: KeySteal – это инфостейлер MacOS, первоначально наблюдаемый в 2021 году и добавленный в Xprotect в феврале 2023 года.
14. MRTV3: Это коллекция компонентов обнаружения и удаления вредоносных программ, приведенных в XProtect от его предшественника, инструмента удаления вредоносных программ (MRT).
15. Pirriit: Этот также не замаскирован по какой -то причине. Pirrit-это рекламная программа MacOS, которая впервые появилась в 2016 году. Известно, что она вводит всплывающую рекламу в веб-страницы, собирает данные частного пользователя и даже манипулирует рейтингом поиска, чтобы перенаправить пользователей на злонамеренные страницы.
16. Бак: «Это правило является одним из наиболее очевидных, поскольку оно включает в себя пути к злонамеренным исполняемым файлам, найденным в инциденте 3CX», – говорит Олден. 3CX была атакой цепочки поставок, связанной с группой Lazarus.
17. Redpine: С более низкой уверенностью, Alden заявляет Redpine, вероятно, в ответ на Triangledb от операционной триангуляции – один из самых сложных iPhone атаки всех времен.
18. Петрафал: Не связан с летающими тараканами и, к сожалению, еще не идентифицированным исследователями.
19. Овчар: Еще не идентифицировано.
20. ShowBeagle: Еще не идентифицируется.
21. Сугроб: Идентифицируется как CloudMensis macos Spyware.
22. Toydrop: Еще не идентифицируется.
23. Найти: Подобно Pirrit, Trovi является еще одним кроссплатформенным угонщиком браузера. Известно, что он перенаправляет результаты поиска, отслеживает историю просмотра и внедряет свою собственную рекламу в поиск.
24. Водяной сеть: Еще не идентифицируется.

Спасибо за чтение! Если у вас есть советы о том, что некоторые из модулей еще не отождествлены, оставьте его в комментариях или отправьте мне электронное письмо по адресу [email protected].

ФонОно на: Twitter/xLinkedIn, потоки