一句“PHP是世界上最好的编程语言”可以成功惹毛一票程序员。同样,随口一句“Windows系统比Mac系统更安全(或反之)”也能让IT安全人员吵个不可开交。
Windows诞生的头10年该产品轻易坐稳史上最好功击操作系统(OS)的交椅,成功功击的数目更让公众对Windows的安全性丧失信任。相比之下,好多果粉则认为MacOS基于苹果的封闭系统环境理应比Windows系列愈加安全。
在历时几六年的用户角逐战后,相关Windows和Mac的安全话题其实早已演弄成了技术信仰问题。而随着苹果设备的大批量出货,MacOS的安全神话也正被逐步打破。
这么,现在的MacOS还像我们想像的那样安全吗?其现在又面临着什么安全恐吓呢?在6月11日举行的TenSec2019年会上,腾讯mac安全专家王朝飞结合现阶段研究成果进行了分享。
MacOS安全吗?
截至2019Q1,Mac终端的市场占有率是6.82%,Windows却高达93.2%。两个数据作比对,不少人会认为Mac终端的市场份额还是相对冷门的,但实际情况却并非这么。
“在个别行业公司里恶意代码的4个关键点,如互联网公司、设计公司Mac所占比列远低于此,且比列呈现不断高涨的趋势。”
王朝飞称,在腾讯Mac设备已然抢占全部在用型号的25%,同样的情况也存在于其他行业的公司。有时侯,看似冷门的Mac产品安全性常常对于企业用户来说至关重要。
Mac系统本身的安全性做得怎样呢?自面世至今,MacOS引入了好多的安全机制,其中主流版本10.14主要有以下四大安全机制:
1、Gatekeeper——对互联网下载应用程序进行签名校准。
2、Xprotect——对应用程序进行静态特点检查,包括字符串,哈希,压入,规则匹配等,可理解成是MacOS自己集成的一个小的杀软。
3、SIP——又叫Rootless,主要是对系统运行进程、系统关键文件以及内核扩充加载进行保护。
4、Sandbox——对应用程序所能访问的软件资源、硬件资源和网路资源等做限制。
上述四大安全机制可以保证应用程序从下载落地到终端执行的安全。
但是,这并不能100%保证MacOS的安全。自MacOS面世至今,这四大安全机制早已出现过无数漏洞并支持黑客进行PAAS或则DOS功击。
据统计,从2016到2017年,针对Mac平台的恶意程序下降了270%。仅在2018年一年,下降速率达到165%。截止目前,MacOS的恶意程序量级已然达到10万级。其中,具有针对MacOS入侵能力的APT组织23个,木马家族62个。
“可以说,MacOS上的中级持续性恐吓似乎是仍然存在的。”
MacOS功击演示
在模拟功击案例中,王朝飞采用RemoteCustomURLScheme的功击手法,从黑客角度分享了对MacOS终端展开功击的全过程。
CustomURLScheme可以被类比成Windows中不同的文件拓展对应不同的默认关联程序。举个事例,如果在浏览器中输入http://baidu.com,这么浏览器都会去解析这个域名。假如一个Mac上的App宣称它支持hXXp这些URLscheme格式,这么若果在浏览器中输入hXXps.baidu.com这么系统都会手动去关联这个App来解析URLscheme。
顾名思义,RemoteCustomURLScheme就是一种远程借助的形式。
功击的第一步,一般黑客会向目标终端发送一份包含恶意链接的垂钓电邮。终端收到垂钓电邮以后,将引导用户用Safari浏览器打开包含恶意链接的短信,并手动访问到黑客所控制的恶意站点。
此时,Safari浏览器会手动下载恶意站点中所储存的恶意压缩包并手动解压,因而造成压缩包上面的恶意App落地。
同时,系统会手动将App所支持的URLscheme进行注册,借此将URLscheme与其关联上去并手动引导Safari访问注册过的恶意URLscheme关联到恶意App。
其功击过程分为三个关键点:
1、Safari浏览器——这是绝大多数Mac终端默认的浏览器,其具备“下载后打开‘安全的’文件”设置选项,一旦该选项开启浏览器则觉得恶意压缩包是安全的因而造成解压落地。
2、恶意App——Mac上的App多为dmg格式。在其文件结构中,包含了应用到的二补码文件、资源,甚至各类脚本。
借助其中的pdc文件(类似一种配置文件),恶意App可以在文件中申明所要支持的URLscheme。
3、恶意站点——当用户收到包含恶意链接的电邮后,打开链接。映入眼睑的是正常的Google搜索页面,同时引导Safari手动下载恶意压缩包、注册到恶意URLscheme并显示伪装后的恶意App运行恳求。
对于终端用户来说,整个功击过程变得非常隐蔽。期间,用户只会收到一个被伪装成系统提示的恶意链接,一旦用户点击执行则会启动恶意程序执行。
MacOS检查与监控
除此之外,还有好多针对MacOS的功击形式,每种对于Mac终端来说都面临着严峻的安全恐吓。
这么,怎么应对这样的安全恐吓呢?
一个黑客完整的入侵途径中恶意代码的4个关键点,可将其界定为初始记录、执行、提权、持久化、搜集取证等阶段,每位阶段就会有一些典型的功击手法。其功击手法及测量办法整理如下:
1、针对Mac使用虚假App误导用户下载执行——可以通过App签名校准与名称是否相符来确认App的真实性;
2、利用隐藏在App资源目录中的脚本执行恶意程序——通过监控进程,恶意脚本一般会被隐藏在须要被赋于执行权限的试探目录中,可以觉得这是一个异常点。
3、利用谷歌宏执行的功击行为——微软宏执行的功击分为从系统模块导出、调用vb函数MacScript和调用vba函数AppleScriptTask三种形式,可通过调用其母子进程进行检测;
4、恶意程序持久化——基于Xprotect对程序路径、哈希、签名等进行检查,对类似/tmp/的隐藏文件强化关注;
5、恶意程序权限提高——直接借助0day漏洞来加壳的情况极少见,常见的加壳形式有两种:一个是通过App的恶意升级程序来愚弄用户输入密码获得特权;其次是直接通过App假扮正常的应用。
当一个程序去恳求Root认证的时侯,最终会对应到一个进程。通过判定进程所在路径及其签名来判定。而对于调用到系统安全子进程的,可以通过监控该子进程所对应的命令行中是否包含觉得恶意的脚本或则程序来加以确认。
6、针对Mac终端搜集、窃取信息——常见的手段包含截屏、键盘记录、敏感信息泄露和扩散四种,针对不同泄露场景的使用特点设计检查截屏频度、执行、安装鼠标监控程序等。
王朝飞称,建立基础的EDR一般会用到进程网路、进程关系、进程命令行和文件操作监控四类,这四类数据源可以覆盖ATT&CK中120种入侵功击手段,监控机率接近80%。
“在基础监控的基础上,若要建立全面的EDR系统,则需搜集更多的终端数据。”雷锋网雷锋网雷锋网
