苹果 MacOS 很安全?这只是错觉

业界
2019
06/16
01:52
雷锋网
分享
评论

一句 "PHP 是世界上最好的编程语言 " 可以成功惹毛一票程序员。同样,随口一句 "Windows 系统比 Mac 系统更安全(或反之)" 也能让 IT 安全人员吵个不可开交。

Windows 诞生的头 10 年该产品轻易坐稳史上最好攻击操作系统 ( OS ) 的宝座,成功攻击的数量更让公众对 Windows 的安全性失去信任。相比之下,很多果粉则觉得 MacOS 基于苹果的封闭系统环境理应比 Windows 系列更加安全。

在长达几十年的用户争夺战后,相关 Windows 和 Mac 的安全话题似乎已经演变成了技术信仰问题。而随着苹果设备的大批量出货,MacOS 的安全神话也正被逐渐打破。

那么,如今的 MacOS 还像我们想象的那样安全吗?其如今又面临着哪些安全威胁呢?在 6 月 11 日举办的 TenSec 2019 峰会上,腾讯 mac 安全专家王朝飞结合现阶段研究成果进行了分享。

MacOS 安全吗?

截止 2019Q1,Mac 终端的市场占有率是 6.82%,Windows 却高达 93.2%。两个数据作比对,不少人会觉得 Mac 终端的市场份额还是相对小众的,但实际情况却并非如此。

" 在某些行业公司里,如互联网公司、设计公司 Mac 所占比例远高于此,且比例呈现不断攀升的趋势。"

王朝飞称,在腾讯 Mac 设备已经占据全部在用机型的 25%,同样的情况也存在于其他行业的公司。有时候,看似小众的 Mac 产品安全性往往对于企业用户来说至关重要。

Mac 系统本身的安全性做得如何呢?自面世至今,MacOS 引入了很多的安全机制,其中主流版本 10.14 主要有以下四大安全机制:

1、Gatekeeper ——对互联网下载应用程序进行签名校验。

2、Xprotect ——对应用程序进行静态特征检测,包括字符串,哈希,压入,规则匹配等,可理解成是 MacOS 自己集成的一个小的杀软。

3、SIP ——又叫 Rootless,主要是对系统运行进程、系统关键文件以及内核扩展加载进行保护。

4、Sandbox ——对应用程序所能访问的软件资源、硬件资源和网络资源等做限制。

上述四大安全机制可以保证应用程序从下载落地到终端执行的安全。

然而,这并不能 100% 保证 MacOS 的安全。自 MacOS 面世至今,这四大安全机制已经出现过无数漏洞并支持黑客进行 PAAS 或者 DOS 攻击。

据统计,从 2016 到 2017 年,针对 Mac 平台的恶意程序增长了 270%。仅在 2018 年一年,增长速度达到 165%。截至目前,MacOS 的恶意程序量级已经达到 10 万级。其中,具有针对 MacOS 入侵能力的 APT 组织 23 个,木马家族 62 个。

" 可以说,MacOS 上的高级持续性威胁其实是一直存在的。"

MacOS 攻击演示

在模拟攻击案例中,王朝飞采用 Remote Custom URL Scheme 的攻击手法,从黑客角度分享了对 MacOS 终端展开攻击的全过程。

Custom URL Scheme 可以被类比成 Windows 中不同的文件拓展对应不同的默认关联程序。举个例子,假如在浏览器中输入 http://baidu.com,那么浏览器就会去解析这个域名。 如果一个 Mac 上的 App 声称它支持 hXXp 这种 URL scheme 格式,那么如果在浏览器中输入 hXXps.baidu.com 那么系统就会自动去关联这个 App 来解析 URL scheme。

顾名思义,Remote Custom URL Scheme 就是一种远程利用的方式。

攻击的第一步,通常黑客会向目标终端发送一份包含恶意链接的钓鱼邮件。终端收到钓鱼邮件之后,将引导用户用 Safari 浏览器打开包含恶意链接的邮件,并自动访问到黑客所控制的恶意站点。

此时,Safari 浏览器会自动下载恶意站点中所存储的恶意压缩包并自动解压,从而导致压缩包里面的恶意 App 落地。

同时,系统会自动将 App 所支持的 URL scheme 进行注册,以此将 URL scheme 与其关联起来并自动引导 Safari 访问注册过的恶意 URL scheme 关联到恶意 App。

其攻击过程分为三个关键点:

1、Safari 浏览器——这是绝大多数 Mac 终端默认的浏览器,其具备 " 下载后打开‘安全的’文件 " 设置选项,一旦该选项开启浏览器则认为恶意压缩包是安全的从而导致解压落地。

2、恶意 App —— Mac 上的 App 多为 dmg 格式。在其文件结构中,包含了应用到的二进制文件、资源,甚至各种脚本。

利用其中的 pdc 文件(类似一种配置文件),恶意 App 可以在文件中声明所要支持的 URL scheme。

3、恶意站点——当用户收到包含恶意链接的邮件后,打开链接。映入眼帘的是正常的 Google 搜索页面,同时引导 Safari 自动下载恶意压缩包、注册到恶意 URL scheme 并显示伪装后的恶意 App 运行请求。

对于终端用户来说,整个攻击过程显得十分隐蔽。期间,用户只会收到一个被伪装成系统提示的恶意链接,一旦用户点击执行则会启动恶意程序执行。

MacOS 检测与监控

除此之外,还有很多针对 MacOS 的攻击方式,每种对于 Mac 终端来说都面临着严峻的安全威胁。

那么,如何应对这样的安全威胁呢?

一个黑客完整的入侵途径中,可将其划分为初始记录、执行、提权、持久化、搜集取证等阶段,每个阶段都会有一些典型的攻击手法。其攻击手法及检测办法整理如下:

1、针对 Mac 使用虚假 App 欺骗用户下载执行——可以通过 App 签名校验与名称是否相符来确认 App 的真实性;

2、利用隐藏在 App 资源目录中的脚本执行恶意程序——通过监控进程,恶意脚本通常会被隐藏在需要被赋予执行权限的试探目录中,可以认为这是一个异常点。

3、利用微软宏执行的攻击行为——微软宏执行的攻击分为从系统模块导入、调用 vb 函数 MacScript ( ) 和调用 vba 函数 AppleScriptTask ( ) 三种方式,可通过调用其父子进程进行监测;

4、恶意程序持久化——基于 Xprotect 对程序路径、哈希、签名等进行检测,对类似 /tmp/ 的隐藏文件加强关注;

5、恶意程序权限提升——直接依靠 0day 漏洞来提权的情况很少见,常见的提权方式有两种:一个是通过 App 的恶意升级程序来欺骗用户输入密码获得特权;其次是直接通过 App 冒充正常的应用。

当一个程序去请求 Root 认证的时候,最终会对应到一个进程。通过判断进程所在路径及其签名来判断。而对于调用到系统安全子进程的,可以通过监控该子进程所对应的命令行中是否包含认为恶意的脚本或者程序来加以确认。

6、针对 Mac 终端收集、窃取信息——常见的手段包含截屏、键盘记录、敏感信息窃取和扩散四种,针对不同窃取场景的使用特性设计检测截屏频率、执行、安装键盘监控程序等。

王朝飞称,构建基础的 EDR 通常会用到进程网络、进程关系、进程命令行和文件操作监控四类,这四类数据源可以覆盖 ATT&CK 中 120 种入侵攻击手段,监控概率接近 80%。

" 在基础监控的基础上,若要构建全面的 EDR 系统,则需收集更多的终端数据。" 雷锋网雷锋网雷锋网

【来源:雷锋网】

THE END
广告、内容合作请点击这里 寻求合作
苹果
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

  自2008年以来,苹果一直在研发一种技术,它能让用户在没有接触屏幕的情况下控制设备,这被称为“悬浮控制能力”。苹果的这项专利于2011年获得授权。
业界
6月15日消息,日前有报道称苹果又注册了7台新款MacBook,按照惯例这预示着苹果即将发布一批新产品。
业界
6月15日报道 境外媒体称,有消息称,苹果正洽谈购买英特尔德国的手机芯片事业,为2025年推出自行研发的5G手机芯片大举布局。
业界
 被苹果和亚马逊搞得钱包瘪了很多年的用户终于可以翻身了——毕竟这回的产品不光不要钱,还能让用户倒赚!
业界
6月14日消息,据外媒报道,作为美国两家最大有线电视公司,康卡斯特(Comcast)和查特(Charter)在开发自己的移动产品时学到了一个艰难的教训:这是苹果的世界,他们只是生活在其中。
业界

相关推荐

1
3