Security Bite: Вот какой вредоносный софт ваш Mac может обнаружить и удалить самостоятельно

Задумывались ли вы, какой вредоносный софт macOS может обнаруживать и удалять без помощи стороннего программного обеспечения? Apple постоянно добавляет новые правила обнаружения вредоносных программ в свою встроенную в Mac утилиту XProtect. Хотя большинство названий правил (сигнатур) зашифрованы, при некотором реверс-инжиниринге исследователи безопасности могут сопоставить их с их общепринятыми отраслевыми названиями.

В этом выпуске 9to5Mac Security Bite я возвращаюсь к теме, над которой начал работать в мае 2024 года. Поскольку Apple постоянно добавляет новые модули в свой набор XProtect для борьбы с последними тенденциями в области вредоносных программ, я предполагаю, что эта колонка будет продолжать обновляться со временем. Вот какой вредоносный софт ваш Mac может обнаруживать и удалять самостоятельно:

9to5Mac Security Bite эксклюзивно предоставляется Mosyle, единственной универсальной платформой для Apple. Мы специализируемся на том, чтобы устройства Apple были готовы к работе и безопасны для бизнеса. Наш уникальный интегрированный подход к управлению и безопасности объединяет передовые решения для безопасности, специфичные для Apple, для полностью автоматизированного усиления защиты и соответствия требованиям, EDR нового поколения, Zero Trust на основе ИИ и эксклюзивное управление привилегиями с самым мощным и современным MDM для Apple на рынке. В результате получается полностью автоматизированная универсальная платформа для Apple, которой доверяют более 45 000 организаций, чтобы без усилий и по доступной цене сделать миллионы устройств Apple готовыми к работе. Запросите свой РАСШИРЕННЫЙ ПРОБНЫЙ ПЕРИОД сегодня и узнайте, почему Mosyle — это все, что вам нужно для работы с Apple.

О Security Bite: Security Bite — еженедельная колонка на 9to5Mac, посвященная безопасности. Каждую неделю Arin Waichulis делится анализом конфиденциальности данных, выявляет уязвимости и освещает новые угрозы в обширной экосистеме Apple с более чем 2 миллиардами активных устройств. ✌️

XProtect, правила Yara, что это?

XProtect был представлен в 2009 году как часть macOS X 10.6 Snow Leopard. Изначально он предназначался для обнаружения вредоносных программ и оповещения пользователей при обнаружении их в установочном файле. Однако в последнее время XProtect значительно развился. Вывод из эксплуатации давней утилиты Malware Removal Tool (MRT) в апреле 2022 года привел к появлению XProtectRemediator (XPR) — более мощного нативного компонента для борьбы с вредоносными программами, ответственного за обнаружение и устранение угроз на Mac.

Набор XProtect использует обнаружение на основе сигнатур Yara для идентификации вредоносного ПО. Yara — это широко используемый инструмент с открытым исходным кодом, который идентифицирует файлы (включая вредоносные программы) на основе конкретных характеристик и закономерностей в коде или метаданных. Прелесть правил Yara в том, что любая организация или частное лицо может создавать и использовать свои собственные, включая Apple.

По состоянию на macOS 15 Sequoia набор XProtect состоит из трех основных компонентов:

1. Приложение XProtect может обнаруживать вредоносный софт, используя правила Yara, когда приложение впервые запускается, изменяет или обновляет свои сигнатуры.
2. XProtectRemediator (XPR) более проактивен и может обнаруживать и удалять вредоносный софт путем регулярного сканирования с использованием правил Yara, среди прочего. Это происходит в фоновом режиме во время периодов низкой активности и минимально влияет на процессор.
3. Последняя версия macOS включает XProtectBehaviorService (XBS), который отслеживает поведение системы в отношении критически важных ресурсов.

К сожалению, Apple в основном использует общие внутренние схемы именования в XProtect, которые затемняют распространенные названия вредоносных программ. Хотя это делается по уважительной причине, это затрудняет для любопытных узнать, какой именно вредоносный софт может идентифицировать XProtect.

Например, некоторые правила Yara получают более очевидные названия, такие как XProtect_MACOS_PIRRIT_GEN — сигнатура для обнаружения рекламного ПО Pirrit. Однако в XProtect вы в основном найдете более общие правила, такие как XProtect_MACOS_2fc5997, и внутренние сигнатуры, которые знают только инженеры Apple, например XProtect_snowdrift. Именно здесь на помощь приходят исследователи безопасности, такие как Фил Стоукс и Алден.

Фил Стоукс из Sentinel One Labs поддерживает удобный репозиторий на GitHub, который сопоставляет эти зашифрованные сигнатуры, используемые Apple, с более распространенными названиями, используемыми поставщиками и найденными в общедоступных сканерах вредоносного ПО, таких как VirusTotal. Кроме того, Алден недавно достиг значительных успехов в понимании того, как работает XPR, извлекая правила Yara из бинарных файлов его модуля сканирования.

Где найти XProtect на моем Mac?

XProtect включен по умолчанию во всех версиях macOS. Он также работает на системном уровне, полностью в фоновом режиме, поэтому никакого вмешательства не требуется. Обновления XProtect также происходят автоматически. Вот где он находится:

1. В Macintosh HD перейдите в Library > Apple > System > Library > CoreServices
2. Отсюда вы можете найти утилиты, щелкнув правой кнопкой мыши по XProtect
3. Затем нажмите Show Package Contents
4. Разверните Contents
5. Откройте MacOS

Примечание: Пользователям не следует полностью полагаться на набор XProtect от Apple, поскольку он предназначен для обнаружения известных угроз. Более продвинутые или изощренные атаки могут легко обойти обнаружение. Я настоятельно рекомендую использовать сторонние инструменты для обнаружения и удаления вредоносных программ.

Какой вредоносный софт он может удалить?

Хотя само приложение XProtect может только обнаруживать и блокировать угрозы, за удаление отвечают модули сканирования XPR. В настоящее время мы можем идентифицировать 14 из 24 утилит в текущей версии XPR (v151) для защиты вашего компьютера от вредоносных программ.

1. Adload: Загрузчик рекламного и бандл-ПО, нацеленный на пользователей macOS с 2017 года. Adload был способен избегать обнаружения до крупного обновления XProtect в прошлом месяце, которое добавило 74 новых правила обнаружения Yara, направленных на это вредоносное ПО.
2. BadGacha: Пока не определено.
3. BlueTop: «BlueTop, похоже, является кампанией Trojan-Proxy, освещенной Kaspersky в конце 2023 года», — говорит Алден.
4. Bundlore: Новый модуль, добавленный в декабре 2024 года. Название этого модуля не зашифровано. Bundlore — это семейство распространенных дропперов рекламного ПО, нацеленных на системы macOS. Многие сторонние сканеры вредоносного ПО могут обнаруживать bundlore и останавливать его в реальном времени. Это не серьезная угроза.
5. CardboardCutout: Этот модуль работает немного иначе, чем другие. Вместо сканирования на наличие конкретного типа вредоносного ПО, CardboardCutout действует, создавая «вырезку» вредоносного ПО с известными сигнатурами и останавливает его до того, как оно успеет запуститься в системе.
6. ColdSnap: «ColdSnap, вероятно, ищет версию вредоносного ПО SimpleTea для macOS. Это также связано с утечкой 3CX и имеет общие черты как с вариантами для Linux, так и для Windows». SimpleTea (SimplexTea для Linux) — это троян удаленного доступа (RAT), предположительно возникший в КНДР.
7. Crapyrator: Crapyrator идентифицирован как macOS.Bkdr.Activator. Это кампания вредоносного ПО, обнаруженная в феврале 2024 года, которая «массово заражает пользователей macOS, потенциально с целью создания ботнета macOS или масштабной доставки другого вредоносного ПО», — заявляет Фил Стоукс из Sentinel One.
8. DubRobber: Тревожный и универсальный дроппер-троян, также известный как XCSSET.
9. Eicar: Безвредный файл, который намеренно разработан для срабатывания антивирусных сканеров, не будучи вредоносным.
10. FloppyFlipper: Пока не определено.
11. Genieo: Очень широко документированная потенциально нежелательная программа (PUP). Настолько, что у нее даже есть своя страница в Википедии.
12. GreenAcre: Пока не определено.
13. KeySteal: KeySteal — это похититель информации для macOS, впервые замеченный в 2021 году и добавленный в XProtect в феврале 2023 года.
14. MRTv3: Это набор компонентов для обнаружения и удаления вредоносных программ, унаследованных XProtect от своего предшественника, Malware Removal Tool (MRT).
15. Pirrit: Этот один по какой-то причине тоже не замаскирован. Pirrit — это рекламное ПО для macOS, которое впервые появилось в 2016 году. Оно известно тем, что внедряет всплывающие рекламные объявления на веб-страницы, собирает частные данные браузера пользователя и даже манипулирует рейтингом поиска, чтобы перенаправлять пользователей на вредоносные страницы.
16. RankStank: «Это правило является одним из наиболее очевидных, поскольку оно включает пути к вредоносным исполняемым файлам, найденным в инциденте с 3CX», — говорит Алден. 3CX — это атака на цепочку поставок, приписываемая Lazarus Group.
17. RedPine: С низкой степенью уверенности Алден утверждает, что RedPine, вероятно, является ответом на TriangleDB из операции Triangulation — одной из самых сложных атак на iPhone за все время.
18. RoachFlight: Не связано с летающими тараканами и, к сожалению, еще не идентифицировано исследователями.
19. SheepSwap: Пока не определено.
20. ShowBeagle: Пока не определено.
21. SnowDrift: Идентифицирован как шпионское ПО для macOS CloudMensis.
22. ToyDrop: Пока не определено.
23. Trovi: Подобно Pirrit, Trovi — еще один кроссплатформенный перехватчик браузера. Он известен тем, что перенаправляет результаты поиска, отслеживает историю просмотров и внедряет собственную рекламу в поиск.
24. WaterNet: Пока не определено.

Спасибо за чтение! Если у вас есть информация о том, что такое некоторые из еще неидентифицированных модулей, пожалуйста, оставьте ее в комментариях или отправьте мне по электронной почте arin@9to5mac.com.

Подписывайтесь на Арина: Twitter/X, LinkedIn, Threads