| 28 апреля 2024 г. — 7:02 PT
После выпуска новых бета-версий на прошлой неделе Apple незаметно выпустила одно из самых значительных обновлений XProtect, которое я когда-либо видел. Инструмент обнаружения вредоносных программ для macOS добавил 74 новых правила обнаружения Yara, все направленные против одной угрозы — Adload. Что это такое и почему Apple считает это такой большой проблемой?
9to5Mac Security Bite эксклюзивно предоставляется Mosyle, единственной унифицированной платформой Apple. Мы занимаемся тем, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе передовые решения для обеспечения безопасности, специфичные для Apple, для полностью автоматизированного усиления безопасности и соответствия требованиям, обнаружение и реагирование нового поколения (EDR), основанное на искусственном интеллекте нулевое доверие (Zero Trust) и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. Результатом является полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций для обеспечения готовности миллионов устройств Apple без особых усилий и по доступной цене. Запросите свой РАСШИРЕННЫЙ ТЕСТОВЫЙ ПЕРИОД сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.
XProtect, правила Yara, да?
XProtect был представлен в 2009 году как часть macOS X 10.6 Snow Leopard. Изначально он был выпущен для обнаружения и оповещения пользователей при обнаружении вредоносных программ в устанавливаемом файле. Однако в последнее время XProtect значительно эволюционировал. Вывод из эксплуатации давно используемого инструмента удаления вредоносных программ (Malware Removal Tool — MRT) в апреле 2022 года привел к появлению XProtectRemediator (XPR) — более функционального нативного компонента для борьбы с вредоносным ПО, отвечающего за обнаружение и устранение угроз на Mac.
Начиная с macOS 14 Sonoma, XProtect состоит из трех основных компонентов:
- Само приложение XProtect, которое может обнаруживать вредоносные программы с помощью правил Yara, когда приложение впервые запускается, изменяется или обновляет свои сигнатуры.
- XProtectRemediator более проактивен и может как обнаруживать, так и удалять вредоносное ПО с помощью регулярных сканирований Yara. Они выполняются в фоновом режиме во время низкой активности и минимально влияют на процессор.
- XProtectBehaviorService (XBS) был добавлен с последней версией macOS и отслеживает поведение системы в отношении критически важных ресурсов.
Пакет XProtect использует обнаружение на основе сигнатур Yara для идентификации вредоносного ПО. Yara сама по себе является широко используемым инструментом с открытым исходным кодом, который идентифицирует файлы (включая вредоносное ПО) на основе конкретных характеристик и шаблонов в коде или метаданных. Что так замечательно в правилах Yara, так это то, что любая организация или частное лицо может создавать и использовать свои собственные, включая Apple.
Компания в основном использует общие или внутренние схемы именования в XProtect, которые скрывают реальные имена вредоносных программ. Это немного затрудняет их идентификацию. Спасибо, Apple (вздох). Некоторые правила получают осмысленные имена, такие как XProtect_MACOS_PIRRIT_GEN, — сигнатура для обнаружения рекламного ПО Pirrit. Однако есть и более общие правила, такие как XProtect_MACOS_2fc5997, или внутренние, такие как XProtect_snowdrift.
Фил Стоукс из Sentinel One Labs управляет удобным репозиторием на GitHub, который сопоставляет эти скрытые имена семейств вредоносных программ с распространенными отраслевыми названиями. Я очень рекомендую посмотреть его.
Войны Adload: Apple наносит ответный удар
С XProtect v2192 Apple, похоже, теперь может обнаруживать весь код Adload и все существующие штаммы некогда широко распространенного рекламного ПО и загрузчика бандлов, нацеленных на пользователей macOS с 2017 года. Для тех, кто следит за этой сагой, это было давно пора.
Как только Adload проникает на Mac (то есть обманом заставляет пользователя установить его под видом легитимного программного обеспечения), он перехватывает результаты поиска, внедряет свою собственную рекламу и рекомендует пользователям посещать сайты, которые могут приносить доход злоумышленникам. Это помимо любых личных данных, которые он может собирать.
Более того, в последнее время этому семейству вредоносных программ удавалось обходить обнаружение как Gatekeeper, так и XProtect, будучи «подписанным» сертификатом разработчика Apple, а также «нотариально заверенным», и до прошлой недели многие штаммы не соответствовали профилям вредоносных программ в базе данных XProtect. Это, несомненно, было настоящей головной болью для команд безопасности Apple, которые, как я полагаю, загрузили 74 новых правила с большим ликованием.
Прежде всего, это огромная победа для обычных пользователей Mac, которые работают без какого-либо стороннего программного обеспечения для обнаружения и удаления вредоносных программ.
По умолчанию XProtect обновляется автоматически. Обновление до последней версии macOS Sonoma не требуется, но все же настоятельно рекомендуется!
Больше в этой серии
- iCloud Mail, Gmail и другие сервисы шокирующе плохо обнаруживают вредоносное ПО, как выяснилось в исследовании
- Киберпреступники пользуются возможностью самовывоза из сторонних магазинов Apple Store Online
- Вот какое вредоносное ПО может удалить ваш Mac
- Саморазрушающийся вредоносный код macOS, замаскированный под легитимное приложение для Mac
- Платежи за программы-вымогатели достигли рекордных 1,1 млрд долларов в 2023 году, несмотря на прошлогоднее снижение