Geavanceerde handleiding voor Mac OS X Malware
Opmerking: dit is een geavanceerd onderwerp bedoeld voor ervaren Mac-gebruikers . Macs worden over het algemeen als veilig beschouwd, zeker in ieder geval vergeleken met de alternatieve wereld van Windows. Maar de realiteit is dat terwijl Macs over het algemeen veiliger zijn dan Windows, er nog steeds legitiem potentieel is voor malware die tot OS X doordringt, ondanks GateKeeper, XProtect, sandboxing en code-ondertekening. Dat is wat deze uitstekende presentatie van Patrick Wardle, de directeur van Research bij Synack, een aanbieder van cyberbeveiligingsoplossingen, heel goed uitlegt, een doordacht en gedetailleerd beeld schetst van de huidige beveiligingsimplementaties ingebouwd in OS X, en hoe ze kunnen worden omzeild door kwaadwillende van plan om een Mac aan te vallen. Daarnaast gaat het overzicht van Synack verder en wordt een open source-script geleverd met de naam KnockKnock, dat alle binaire bestanden van OS X weergeeft die zijn ingesteld om te worden uitgevoerd bij het opstarten van het systeem. Dit kan mogelijk geavanceerde gebruikers helpen om na te gaan of er iets verdachts op een Mac draait.
Het uitstekende document, getiteld "METHODEN van MALWARE PERSISTENTIE op OS X", is onderverdeeld in vijf belangrijke delen:
- Achtergrondinformatie over OS X ingebouwde beveiligingsmethoden, waaronder GateKeeper, Xprotect, sandboxing en code signing
- Het opstartproces van de Mac, van firmware tot OS X
- Methoden voor het continu uitvoeren van code bij het opnieuw opstarten en inloggen door gebruikers, inclusief kernelextensies, daemons starten, cron-taken, gelanceerde en opstart- en inlogitems
- Specifieke OS X Malware-voorbeelden en hoe ze werken, inclusief Flashback, Crisis, Janicab, Yontoo en rogue AV-producten
- KnockKnock - een open source hulpprogramma dat naar dubieuze binaire bestanden, commando's, kernelextensies enz. Scant, die geavanceerde gebruikers kunnen helpen bij detectie en bescherming
Voor het geval dat het niet al duidelijk was; dit is allemaal redelijk geavanceerd, gericht op ervaren gebruikers en personen in de beveiligingsindustrie. De gemiddelde Mac-gebruiker is niet de doelgroep voor deze presentatie, document of KnockKnock-tool (maar ze kunnen hier een aantal algemene tips voor Mac-malwarebescherming volgen). Dit is een technisch document dat een aantal zeer specifieke potentiële aanvalsvectoren en mogelijk bedreigde toetreders tot OS X schetst, het is echt gericht op geavanceerde Mac-gebruikers, IT-medewerkers, beveiligingsonderzoekers, systeembeheerders en ontwikkelaars die een beter inzicht willen krijgen in de risico's die aan OS worden gesteld X en leer manieren om deze risico's te detecteren, te beschermen en te beschermen.
- Presentatie Synack: OS X Malware Persistence (directe PDF-documentkoppeling)
- KnockKnock: script om persistente binaire bestanden weer te geven die zijn ingesteld om te worden uitgevoerd bij opstarten van OS X (open source op Github)
De volledige presentatie van Synack Malware is 56 gedetailleerde pagina's lang in een 18 MB PDF-bestand. Bovendien is het KnockKnock python-script beschikbaar op GitHub voor gebruik en verkenning. Beide zijn zeker de moeite waard voor geavanceerde Mac-gebruikers die de risico's voor OS X beter willen begrijpen en doorgeven!