快捷搜索:  as  MTU2MjQ3NjQ4Mg`

MacOS比Windows更安全?安全专家说出真相

本站讯

一句“PHP是天下上最好的编程说话”可以成功惹毛一票法度榜样员。同样,随口一句“Windows系统比Mac系统更安然(或反之)”也能让IT安然职员吵个弗成开交。

Windows出生的头10年该产品随意马虎坐稳史上最好进击操作系统(OS)的宝座,成功进击的数量更让"民众,"对Windows的安然性掉去相信。比拟之下,很多果粉则感觉MacOS基于苹果的封闭系统情况理应比Windows系列加倍安然。

在长达几十年的用户争夺战后,相关Windows和Mac的安然话题彷佛已经蜕变成了技巧信奉问题。而跟着苹果设备的大年夜批量出货,MacOS的安然神话也正被徐徐突破。

那么,如今的MacOS还像我们想象的那样安然吗?其如今又面临着哪些安然要挟呢?在6月11日举办的TenSec 2019峰会上,腾讯mac安然专家王朝飞结合现阶段钻研成果进行了分享。

MacOS安然吗?

截止2019Q1,Mac终真个市场占领率是6.82%,Windows却高达93.2%。两个数据作比对,不少人会感觉Mac终真个市场份额照样相对小众的,但实际环境却并非如斯。

“在某些行业公司里,如互联网公司、设计公司Mac所占比例远高于此,且比例出现赓续攀升的趋势。”

王朝飞称,在腾讯Mac设备已经盘踞整个在用机型的25%,同样的环境也存在于其他行业的公司。无意偶尔候,看似小众的Mac产品安然性每每对付企业用户来说至关紧张。

Mac系统本身的安然性做得若何呢?自面世至今,MacOS引入了很多的安然机制,此中主流版本10.14主要有以下四大年夜安然机制:

1、Gatekeeper——对互联网下载利用法度榜样进行署名校验。

2、Xprotect——对利用法度榜样进行静态特性检测,包括字符串,哈希,压入,规则匹配等,可理解成是MacOS自己集成的一个小的杀软。

3、SIP——又叫Rootless,主如果对系统运行进程、系统关键文件以及内核扩展加载进行保护。

4、Sandbox——对利用法度榜样所能造访的软件资本、硬件资本和收集资本等做限定。

上述四大年夜安然机制可以包管利用法度榜样从下载落地到终端履行的安然。

然而,这并不能100%包管MacOS的安然。自MacOS面世至今,这四大年夜安然机制已经呈现过无数破绽并支持黑客进行PAAS或者DOS进击。

据统计,从2016到2017年,针对Mac平台的恶意法度榜样增长了270%。仅在2018年一年,增长速率达到165%。截至今朝,MacOS的恶意法度榜样量级已经达到10万级。此中,具有针对MacOS入侵能力的APT组织23个,木马家族62个。

“可以说,MacOS上的高档持续性要挟着实是不停存在的。”

MacOS进击演示

在模拟进击案例中,王朝飞采纳Remote Custom URL Scheme的进击伎俩,从黑客角度分享了对MacOS终端展开进击的全历程。

Custom URL Scheme可以被类比成Windows中不合的文件拓展对应不合的默认关联法度榜样。举个例子,要是在浏览器中输入http://baidu.com,那么浏览器就会去解析这个域名。 假如一个Mac上的App声称它支持hXXp这种URL scheme款式,那么假如在浏览器中输入hXXps.baidu.com那么系统就会自动去关联这个App来解析URL scheme。

顾名思义,Remote Custom URL Scheme便是一种远程使用的要领。

进击的第一步,平日黑客会向目标终端发送一份包孕恶意链接的钓鱼邮件。终端收到钓鱼邮件之后,将向导用户用Safari浏览器打开包孕恶意链接的邮件,并自动造访到黑客所节制的恶意站点。

此时,Safari浏览器会自动下载恶意站点中所存储的恶意压缩包并自动解压,从而导致压缩包里面的恶意App落地。

同时,系统会自动将App所支持的URL scheme进行注册,以此将URL scheme与其关联起来并自动向导Safari造访注册过的恶意URL scheme关联到恶意App。

其进击历程分为三个关键点:

1、Safari浏览器——这是绝大年夜多半Mac终端默认的浏览器,其具备“下载后打开‘安然的’文件”设置选项,一旦该选项开启浏览器则觉得恶意压缩包是安然的从而导致解压落地。

2、恶意App——Mac上的App多为dmg款式。在其文件布局中,包孕了利用到的二进制文件、资本,以致各类脚本。

使用此中的pdc文件(类似一种设置设置设备摆设摆设文件),恶意App可以在文件中声明所要支持的URL scheme。

3、恶意站点——当用户收到包孕恶意链接的邮件后,打开链接。映入眼帘的是正常的Google搜索页面,同时向导Safari自动下载恶意压缩包、注册到恶意URL scheme并显示冒充后的恶意App运行哀求。

对付终端用户来说,全部进击历程显得十分隐蔽。时代,用户只会收到一个被冒充成系统提示的恶意链接,一旦用户点击履行则会启动恶意法度榜样履行。

MacOS检测与监控

除此之外,还有很多针对MacOS的进击要领,每种对付Mac终端来说都面临着严酷的安然要挟。

那么,若何应对这样的安然要挟呢?

一个黑客完备的入侵道路中,可将其划分为初始记录、履行、提权、持久化、汇集取证等阶段,每个阶段都邑有一些范例的进击伎俩。其进击伎俩及检测法子收拾如下:

1、针对Mac应用虚假App诈骗用户下载履行——可以经由过程App署名校验与名称是否切合来确认App的真实性;

2、使用暗藏在App资本目录中的脚本履行恶意法度榜样——经由过程监控进程,恶意脚本平日会被暗藏在必要被付与履行权限的试探目录中,可以觉得这是一个非常点。

3、使用微软宏履行的进击行径——微软宏履行的进击分为从系统模块导入、调用vb函数MacScript()和调用vba函数AppleScriptTask()三种要领,可经由过程调用其父子进程进行监测;

4、恶意法度榜样持久化——基于Xprotect对法度榜样路径、哈希、署名等进行检测,对类似/tmp/的暗藏文件加强关注;

5、恶意法度榜样权限提升——直接寄托0day破绽来提权的环境很少见,常见的提权要领有两种:一个是经由过程App的恶意进级法度榜样来诈骗用户输入密码得到特权;其次是直接经由过程App假冒正常的利用。

当一个法度榜样去哀求Root认证的时刻,终极会对应到一个进程。经由过程判断进程所在路径及其署名来判断。而对付调用到系统安然子进程的,可以经由过程监控该子进程所对应的敕令行中是否包孕觉得恶意的脚本或者法度榜样来加以确认。

6、针对Mac终端网络、盗守信息——常见的手段包孕截屏、键盘记录、敏感信息偷取和扩散四种,针对不合偷取场景的应用特点设计检测截屏频率、履行、安装键盘监控法度榜样等。

王朝飞称,构建根基的EDR平日会用到进程收集、进程关系、进程敕令行和文件操作监控四类,这四类数据源可以覆盖ATT&CK中120种入侵进击手段,监控概率靠近80%。

“在根基监控的根基上,若要构建周全的EDR系统,则需网络更多的终端数据。”

您可能还会对下面的文章感兴趣: