了解 Mac OS X 恶意软件的高级指南

Synack 关于理解 OS X 的演示恶意软件持久性

注意:这是一个针对专业 Mac 用户的高级主题。 Mac 通常被认为是安全的,至少与 Windows 的替代世界相比是这样。但现实情况是,尽管 Mac 通常比 Windows 更安全,但尽管有 GateKeeper、XProtect、沙盒和代码签名,恶意软件仍有可能合法地侵入 Mac OS X。

这就是网络安全解决方案提供商 Synack 的研究总监帕特里克·沃德尔 (Patrick Wardle) 在这篇出色的演讲中所做的很好的解释,对当前内置于 Mac OS X 中的安全实施以及它们如何能够被恶意攻击 Mac 的意图规避。

此外,Synack 概述更进一步,提供了一个名为 KnockKnock 的开源脚本,它显示了所有设置为在系统启动时执行的 Mac OS X 二进制文件,可能帮助高级用户检查和验证是否有任何可疑的东西正在运行苹果。

这篇优秀的文档,标题为 “在 OS X 上的恶意软件持久性方法”,分为五个主要部分:

  • Mac OS X 内置保护方法的背景知识,包括 GateKeeper、Xprotect、沙盒和代码签名
  • 了解 Mac 启动过程,从固件到 Mac OS X
  • 让代码在重启和用户登录时持续运行的方法,包括内核扩展、启动守护进程、cron 作业、启动以及启动和登录项
  • 具体的 Mac OS X 恶意软件示例及其运作方式,包括 Flashback、Crisis、Janicab、Yontoo 和流氓 AV 产品
  • KnockKnock – 一种开源实用程序,可扫描可疑二进制文件、命令、内核扩展等,可帮助高级用户进行检测和保护

以防万一它还不明显; 这一切都相当先进,针对专家用户和安全行业的个人。普通 Mac 用户不是此演示文稿、文档或 KnockKnock 工具的目标受众(但他们可以遵循 这里有一些 Mac 恶意软件保护的一般技巧)。

这是一份技术文档,概述了一些非常具体的潜在攻击媒介和可能进入 Mac OS X 的威胁,它真正针对高级 Mac 用户、IT 工作者、安全研究人员、系统管理员和想要更好地了解 Mac OS X 的开发人员Mac OS X 面临的风险,并学习检测、保护和防范这些风险的方法。

整个 Synack 恶意软件演示文稿在一个 18MB 的 PDF 文件中有 56 个详细页面。

此外,KnockKnock python 脚本在 GitHub 上可供使用和探索。

对于希望更好地了解 Mac OS X 风险的高级 Mac 用户来说,这两本书都非常值得一看,请转发!