Avanceret vejledning til forståelse af Mac OS X-skadelig software

Bemærk: Dette er et avanceret emne rettet mod eksperter fra Mac-brugere . Mac'er anses generelt for sikre, helt sikkert i det mindste i forhold til den alternative verden af ​​Windows. Men virkeligheden er, at mens Mac'er generelt er mere sikre end Windows, er der stadig legitimt potentiale for malware at komme igennem til OS X, på trods af GateKeeper, XProtect, sandboxing og kodesignering. Det er, hvad denne fremragende præsentation fra Patrick Wardle, forskningsdirektør hos Synack, en leverandør af cyber-sikkerhedsløsninger, forklarer ret godt og tilbyder et gennemtænkt og detaljeret kig på de nuværende sikkerhedsimplementer, der er indbygget i OS X, og hvordan de kunne omgåes af ondsindede hensigt at angribe en Mac. Desuden går Synack-oversigten videre og giver et open source-script kaldet KnockKnock, der viser alle OS X-binære filer, der er indstillet til at udføres ved systemstart, hvilket muligvis hjælper avancerede brugere til at undersøge og kontrollere, om noget skyggefuldt kører på en Mac.

Det fremragende dokument med titlen "MÅLER MALWARE PERSISTENCE på OS X" er opdelt i fem hoveddele:

  • Baggrund for OS X indbyggede beskyttelsesmetoder, herunder GateKeeper, Xprotect, sandboxing og kodesignering
  • Forstå Mac boot-processen, fra firmware til OS X
  • Metoder til at få kode til vedvarende at køre ved genstart og bruger log ind, herunder kerneudvidelser, start daemoner, cron job, lanceret og opstart og login elementer
  • Specifikke OS X Malware eksempler og hvordan de fungerer, herunder Flashback, Crisis, Janicab, Yontoo og rogue AV produkter
  • KnockKnock - et open source-værktøj, der scanner til tvivlsomme binære filer, kommandoer, kerneforlængelser osv., Som kan hjælpe avancerede brugere med at detektere og beskytte

Hvis det ikke allerede var indlysende; Det er alt ret avanceret, der er rettet mod ekspertbrugere og enkeltpersoner i sikkerhedsbranchen. Den gennemsnitlige Mac-bruger er ikke målgruppen for dette præsentations-, dokument- eller KnockKnock-værktøj (men de kan følge nogle generelle tips til beskyttelse af Mac-malware her, dog). Dette er et teknisk dokument, der beskriver nogle meget specifikke potentielle angrebsvektorer og mulige trusseltagere til OS X. Det er virkelig rettet mod avancerede Mac-brugere, it-arbejdere, sikkerhedsforskere, systemadministratorer og udviklere, der ønsker bedre at forstå de risici, der er forbundet med OS X, og lær hvordan man kan opdage, beskytte og beskytte disse risici.

  • Synack Præsentation: OS X Malware Persistence (direkte PDF doc link)
  • KnockKnock: script til at vise vedvarende binære filer, der er indstillet til at udføres på OS X boot (open source på Github)

Hele Synack Malware-præsentationen er 56 detaljerede sider langt i en 18 MB PDF-fil. Derudover er KnockKnock python-scriptet tilgængeligt på GitHub til brug og udforskning. Begge disse er vel værd at kigge efter avancerede Mac-brugere på udkig efter bedre at forstå risici for OS X, send det sammen!