10个关于macOS安全的假设,让你的业务处于危险之中

OD真人官网

10个关于macOS安全的假设,让你的业务处于危险之中

mac电脑很棒,不是吗? 我有很多. Aside from the two provided by my employer, I have five working Macs of my own, 从2009年到2021年. 出于研究目的,我还在许多虚拟机上运行macOS. 实际上,给我几分钟时间,我可以从10个版本向您介绍任何版本的macOS实例.5.《OD真人官网》(大约2008年)!) right through to the latest beta of macOS 12 Monterey. 是的, 我是个苹果迷, Mac极客, 一个macOS爱好者, and I’ve spent over a decade now learning how Macs and macOS work. 我也是一名Mac安全研究人员,在了解如何保护Mac和Mac用户安全时,我的工具库中有一个老版本的macOS目录.

Most of my work nowadays revolves around identifying, 跟踪, and understanding Mac malware in the enterprise, 在我的工作过程中,我不可避免地遇到了太多被感染的mac电脑. 这些Mac电脑的用户在得知自己的Mac电脑被植入了一些恶意广告软件或恶意软件时,往往不会感到惊讶.

Few ever know how the malware got on their device. 大多数人认为他们在使用Mac电脑时不需要采取任何特殊的安全防范措施. 一些人说,不需要运行反病毒产品正是他们选择Mac电脑、放弃之前的Windows电脑的原因. All had no idea how to remove the infection, or verify that the Mac was indeed healthy after they had tried. 经常, 接受过培训并肩负着解决Windows设备问题任务的IT团队也同样不确定.

在这篇文章中, 我将与你分享我告诉这些用户和其他许多人关于macOS的安全. 我将揭穿关于如何安全使用和管理mac的一些普遍存在的误区, 我将解释你如何确保你的组织中的那些人不会成为下一个开始危险地在互联网上搜索问题解决方案的不幸的Mac用户,他们几乎不知道自己有这个问题.

 

1. I don’t Need to Update My System
许多人认为,运行老版本的macOS和运行最新版本一样安全. 而目前macOS Monterey, 大苏尔和卡特琳娜仍在接收重要的安全更新, anything older than that is certainly riddled with vulnerabilities.

但更大的担忧是,那些获得了闪亮升级但跟不上普通更新的设备. From a security perspective, point updates (e.g.,蒙特利.1 to 12.2 and so on) are far more important than OS upgrades, 至少在你不超过N-2的情况下(超过当前操作系统之后的两次主要升级). If you’re still running Catalina or Big Sur, the only safe versions of those OSs are the most recent ones: 10.15.7 + the January 26 Security Update, and 11.6.3,分别. At the time of writing, Monterey is on 12.2.

点更新之所以更为关键是因为它不同于主要的操作系统升级, 这是出于市场营销的原因,通常是为了添加新的(有时是错误的!)特性, 点更新通常侧重于修复bug和安全漏洞, 包括已知在野外被积极利用的漏洞. 例如,在最近的12.2更新, 苹果打补丁的cve - 2022 - 22587, 他们说他们“知道有报告说这个问题可能被积极利用了”. That update also addressed twelve other CVEs including:

CVE-2022-22586 - AMD内核:恶意应用程序可能能够使用内核特权执行任意代码
CVE-2022-22584 (ColorSync):处理恶意制作的文件可能导致任意代码执行
CVE-2022-22591 - Intel Graphics Driver:恶意应用程序可能能够使用内核特权执行任意代码
最近, 我走进一家苹果经销店,惊讶地注意到, next to the Mac that was running the point-of-sale 软件, 其他员工用的似乎是一台老式的2012年MacBook Pro. 我是怎么知道的? 因为苹果公司制造内置CD驱动器的MacBook是在2012年, 当我等待购买时,我可以看到机器侧面的泄露槽.

到2022年,企业仍然可以使用2012年的机器来完成生产任务,这证明了苹果硬件的寿命, but it’s also a potential problem. The mid-2012 MBP was released with OS X 10.8美洲狮! 2012年中期的MacBook Pro可以运行的macOS最新版本是Big Sur. I sure hope they updated to that 11.6.3 .下周发布!

2. Mac恶意软件很少见
针对Windows机器的恶意软件的数量确实令人震惊. 难怪每年都有不少电脑买家求助于mac电脑,以缓解Windows带来的安全问题. 而针对mac的恶意软件数量只是其中的一小部分, a small percentage of a large number can still be a large number. 相对于Windows, Mac恶意软件远不常见,但它离“罕见”还有很长的路要走.

去年, we saw 10 new targeted macOS malware families emerge, 以及Shlayer等广告软件交付平台的持续扩张, Bundlore, Surfbuyer, Pirrit, WizardUpdate和Adload.

In 2021, 苹果软件工程副总裁克雷格·费代里吉(Craig Federighi)表示,他“有几个家庭成员的mac电脑上安装了恶意软件”。. 在评论中,许多Mac用户感到惊讶,但绝对没有安全研究人员, Federighi further noted that “Each week, 苹果自己或在第三方的帮助下识别出了一些恶意软件”,苹果正在与“无休止的打地鼠游戏”作战,现在面临着比过去“更大的恶意软件问题”.

3. 广告软件并不危险
对于持这种观点的人,我的第一反应是:定义“危险”.

Adware is code running on your machine, often without your knowledge or consent, that fingerprints your device and collects PII about you, 将其转移到未知的第三方,并安装持久性代理程序, makes itself difficult to remove, 顾名思义,在你浏览网页的时候,它会劫持你的搜索结果,给你带来不必要的广告.

像Adload和Shlayer这样的广告软件通常会联系不知名的url,并在不通知用户的情况下在后台下载不需要的软件.

有些广告软件类似于间谍软件, 一些广告软件开发者采取了这种极端的措施,以避免被安全软件检测或被安全专业人士分析,他们可以合法地从事向恶意软件作者传授一些新技巧的业务. So, what’s your definition of ‘dangerous’?

4. Apple Is All The Security You Need
苹果一直在努力树立“安全的Mac”的声誉, 但营销信息与现实之间的差距越来越明显. 这并不是说苹果不重视安全——它真的很重视, 我们一直很乐意通过在可能的时候分享情报来支持苹果的产品安全团队. 问题是苹果在macOS上的安全技术很容易被击败, and it’s worth exploring for a moment why that is the case.

Unlike iOS and Apple mobile devices, macOS和Mac提供——我们希望将一直提供——一个设备所有者能够定制和使用他们的计算机在各种各样的新奇事物的环境, 有趣且有创意的方式. 强大计算平台的用例与移动设备的用例完全不同, 正因为如此,苹果在安全方面所能做的只有这么多,而不会落入微软的陷阱,成为一个售后服务供应商来支持自己的操作系统的安全.

With the Mac, Apple tread lightly. 看门人, 联合设计和公证提供了进入的障碍,但他们不会阻止专业的广告软件和恶意软件作者. On-device protection like XProtect and 捷运.应用程序也有助于清理一些主要发现的恶意软件和广告软件变种, but there are many that they do not. XProtect是一种老式的文件扫描技术,需要更新(苹果在后台默默进行了更新), 大约一个月一次),因为新的恶意软件已经攻击了一些不幸的受害者.

最重要的是, 对于恶意软件作者来说,在他们自己的机器上检查XProtect并查看签名是如何捕获他们的工作的很简单. 捷运.app is a little more obtuse to inspect, 但无论苹果如何努力地混淆他们的签名, 总是有一个简单的测试可用的恶意软件作者:测试你的恶意软件在你的Mac上,如果它被删除或阻止, 调整它直到它不是.

恶意软件的作者总是可以直接访问苹果用来阻止或删除恶意软件的软件. 在某种程度上, notarization was supposed to help Apple get around this, 但威胁行为者很快发现,自动恶意软件服务可以被击败, 还有打地鼠的游戏, as Mr Federighi rightly described it, 继续.

5. I’d Know If My Mac Was Infected
Mac最容易被忽视的一个弱点是,它提供的安全和管理方面的终端用户工具太少. 曾经有用的控制台.app is now a no-go zone for anyone other than the most masochistic of Mac diehards; the Terminal provides some useful but obscure command line tools for examining things like running processes, 列出打开的文件和端口,并收集某些类型的系统和用户数据.

但是——这是一个很大的但是——这些都没有为用户或管理员提供任何实际的方法来查看, track or identify malicious changes. 没有一个本地工具允许用户看到是哪个进程改变了哪个文件。, 执行的二进制文件, 或者改变什么系统数据.

Deep-dive IR and digital forensics investigations can, 有时, recreate certain historical chains of events, 但这些都需要专业知识, 时间和金钱.

简而言之, 如果不添加一些第三方软件,没有一个Mac用户能够真正回答的问题是:我怎么知道我的Mac是否被一些后门程序(如SysJoker)或间谍软件(如DazzleSpy或XcodeSpy)感染了?

6. 我的数据在我的Mac上是安全的
Data privacy has become increasingly important, 越来越多的有针对性的, 近年来,我们几乎所有人都将部分或全部最敏感的数据转移到了设备上.

符合这一趋势, 苹果已经对macOS做了一些修改,试图保护我们mac上的PII和其他数据, but the results have been less than stellar. 在第一种情况下, 苹果所有的用户隐私保护都被任何需要的应用程序所绕过, 并且由用户授予, 全磁盘访问(FDA). 苹果的默认假设是,用户在不了解风险的情况下不会授予这种许可, but that’s an assumption that is fatally flawed. Many common apps request this permission to function properly, 用户更感兴趣的是让应用程序工作,而不是向开发者详细询问许可将如何使用或可能被滥用.

有一个应用程序可以完全访问磁盘,而不受用户偏好的影响,那就是苹果自己的Finder. 这允许一个通过自动化的偷偷摸摸的后门,只需要一个同意点击(而不是密码授权)就可以通过用户.

进一步, 在许多企业设置中, administrators will require the Terminal to have Full Disk Access. 不幸的是, 这里没有粒度, so when one user grants FDA to the Terminal, it’s now available to all users (and all processes).

正如我们之前提到的, 这不是意外,也不是漏洞, 它的设计, 但在负责保护用户数据隐私的同一框架(又名TCC)中,bug已经变得非常普遍,几乎令人无趣!

7. Criminals Aren’t Interested in Mac Users
大多数恶意软件作者对Mac用户不感兴趣,因为“市场太小”,不值得他们花时间,这是一个常见的计算机安全迷思. 毕竟, 它应该是, it takes a considerable investment in resources to develop, distribute and manage malware infections, and for that effort criminals want a good ROI. 因此, 这是假设, 他们没有把目标锁定在mac电脑上,而是坚持选择更容易的Windows用户.

There’s plenty of fallacy to unpack here. 首先,市场太小? 这种想法已经过时了15年,准确地说,是在2007年iphone发布之前. mac电脑曾经可能是某些“创意人士”和少数狂热爱好者的小众产品, 但在过去十年左右的时间里,他们的市场份额稳步增长.

起初, 这是在iOS/macOS(或当时的OS X)生态系统集成的基础上实现的, 但长期以来,mac电脑一直因其长寿而受到欢迎, stability and – relative to Windows – security. Developers of all stripes love them, 高管们爱他们, 上个季度,苹果公司报告称,仅Mac电脑的销售收入就超过了100亿美元. 对于任何恶意软件作者来说,这都是一个相当健康的市场, just ask the developers of XLoader, XCSSET和OSAMiner.

Second, mac malware isn’t particularly difficult to create. If you can create any kind of Mac app, 让它做一些恶意的事情是相当微不足道的(一个不幸的事实,使macOS恶意软件难以捕获某些类型的安全解决方案,依赖于识别恶意软件的文件特征,而不是行为). 此外,macOS恶意软件正日益跨平台——恶意软件的作者们正用Java等语言编写相同的源代码,瞄准多个平台, Go和Kotlin——而且“重投资不回报”的论点真的站不住脚.

8. Nation-States Don’t Target Mac Users
如果那些想赚快钱的罪犯也在船上,apt的人怎么办? 正如上面所提到的, 开发人员和高管们都喜欢购买mac电脑——它们功能强大、风格别致——而且它们还以安全著称(尽管我们注意到chromebook现在享受着“这些电脑不会感染病毒”的文化基因)。.

apt一直忙于将目标锁定在mac上,就像他们为“相关人员”所使用的其他设备一样。. 在过去的一年中, 我们不仅看到了针对政治活动人士的有针对性的攻击,还看到了很可能是针对一家美国企业的间谍攻击.

We also learned last month that, while most Mac malware requires some level of social engineering, 有一些疯狂的漏洞可以感染Mac用户,只要他们访问了错误的网站. 两个macOS.Macma和OSX.DazzleSpy是通过利用漏洞在水坑攻击中使用特权删除和执行代码而发布的. 如上所述, cve - 2022 - 22587, 几周前打过补丁, 是否有一个被积极利用的零日,允许恶意攻击者使用内核特权执行任意代码. At this time, we have no idea who the targets were.

9. Apps Downloaded from the App Store are Safe
Mac App Store的应用和iOS App Store的应用一样,在苹果的生态系统中享有特殊的地位. Such apps run in sandbox environments on the user’s device, 被苹果审查了吗, and are distributed by identified developers. The vast majority are, indeed, safe, there’s no questioning that. But there are, nevertheless, questions about a small minority.

应用商店的应用程序大多是安全的, 但是下载的来源并不能保证你没有被恶意软件感染. 合法App Store应用的开发者已经注意到,App Store上的一些诈骗应用公然抄袭合法应用,并以虚假评级和评论进行炒作, themselves purchased in bulk from other criminals. 据估计,这类应用每年可能会诈骗用户200万美元或更多.

10. The Best Security Apps Are in the App Store
如果你想为你的mac电脑提供一些额外的安全解决方案, the one place not to look is the App Store. 这与我们之前提到的一些App Store应用的可疑性无关, 而是什么类型的应用可以在App Store中出现.

我们已经说过了, 应用商店的应用程序必须是沙盒的——这是苹果的准入条件之一——但是一个好的安全应用程序不能在沙盒环境中运行. 沙盒就像一个容器,将一个应用程序与设备上的其他应用程序和其他数据隔离开来. 这是众多技术之一,可以用来帮助提高某些应用的安全性.

然而,目前还没有有效的沙盒安全应用. 在App Store中发现的所谓的“安全应用程序”无法看到其他进程,也无法阻止或删除设备上的恶意软件(其本身几乎总是非沙箱化的). They are, by and large, at best useless, and at worst fraudulent.

如果你想要有效的安全, you need a solution that can actually protect your device against threats and offer visibility into malicious actions; in other words, you need something that runs outside of a sandbox.

结论
电脑是伟大的. 我们不要忘记这一点! 但我们可以将mac视为伟大的工作机器,而不是天真地认为它们是某种坚不可摧的堡垒,不需要任何帮助来保护它们免受越来越多的威胁.

Computer security is a moving target, 当然,在企业中,这需要一个专门的安全解决方案提供商,该提供商必须紧跟最新的威胁. 帮助您的Mac -和Mac用户-帮助他们自己,了解macOS安全威胁的现实,并在您的安全姿态中积极主动.

 

February 7, 2022 by Phil Stokes

GET THE LATEST UPDATES, OFFERS, INFORMATION & 更多的