MacOS很平安？这只是错觉

一句“PHP是世界上最好的编程说话”能够成功惹毛一票法式员。同样，随口一句“Windows系统比Mac系统更平安（或反之）”也能让IT平安人员吵个弗成开交。 [转载出处：www.ii77.com]

Windows降生的头10年该产物随意坐稳史上最好冲击把持系统(OS)的宝座，成功冲击的数量更让公家对Windows的平安性失去信任。比拟之下，好多果粉则感觉MacOS基于苹果的关闭系统情况理应比Windows系列加倍平安。

[原文来自：www.ii77.com]

在长达几十年的用户争夺战后，相关Windows和Mac的平安话题似乎已经演酿成了手艺崇奉问题。而跟着苹果设备的多量量出货，MacOS的平安神话也正被逐渐打破。

那么，现在的MacOS还像我们想象的那样平安吗？其现在又面临着哪些平安威胁呢？在6月11日举办的TenSec 2019峰会上，腾讯mac平安专家王朝飞连系现阶段研究功效进行了分享。

MacOS平安吗？

截止2019Q1，Mac终端的市场占有率是6.82%，Windows却高达93.2%。两个数据作比对，不少人会感觉Mac终端的市场份额照样相对小众的，但实际情形却并非如斯。

“在某些行业公司里，如互联网公司、设计公司Mac所占比例远高于此，且比例呈现络续攀升的趋势。”

王朝飞称，在腾讯Mac设备已经占有悉数在用机型的25%，同样的情形也存在于其他行业的公司。有时候，看似小众的Mac产物平安性往往对于企业用户来说至关主要。

Mac系统自己的平安性做得若何呢？自面世至今，MacOS引入了好多的平安机制，个中主流版本10.14首要有以下四大平安机制：

1、Gatekeeper——对互联网下载应用法式进行签名校验。

2、Xprotect——对应用法式进行静态特征检测，包罗字符串，哈希，压入，划定成家等，可懂得成是MacOS本身集成的一个小的杀软。

3、SIP——又叫Rootless，首要是对系统运行历程、系统要害文件以及内核扩展加载进行珍爱。

4、Sandbox——对应用法式所能接见的软件资源、硬件资源和收集资源等做限制。

上述四大平安机制能够包管应用法式从下载落地到终端执行的平安。

然而，这并不克100%包管MacOS的平安。自MacOS面世至今，这四大平安机制已经显现过无数破绽并支撑黑客进行PAAS或许DOS冲击。

据统计，从2016到2017年，针对Mac..的恶意法式增进了270%。仅在2018年一年，增进速度达到165%。截止今朝，MacOS的恶意法式量级已经达到10万级。个中，具有针对MacOS入侵能力的APT组织23个，木马家眷62个。

“能够说，MacOS上的高级持续性威胁其实是一向存在的。”

MacOS冲击演示

在模拟冲击案例中，王朝飞采用Remote Custom URL Scheme的冲击手法，从黑客角度分享了对MacOS终端睁开冲击的全过程。

Custom URL Scheme能够被类比成Windows中分歧的文件拓展对应分歧的默认关系法式。举个例子，假如在浏览器中输入http：//baidu.com，那么浏览器就会去解析这个域名。 若是一个Mac上的App声称它支撑hXXp这种URL scheme花样，那么若是在浏览器中输入hXXps.baidu.com那么系统就会主动去关系这个App来解析URL scheme。

顾名思义，Remote Custom URL Scheme就是一种长途行使的体式。

冲击的第一步，平日黑客会向方针终端发送一份包含恶意链接的垂纶邮件。终端收到垂纶邮件之后，将指导用户用Safari浏览器打开包含恶意链接的邮件，并主动接见到黑客所掌握的恶意站点。

此时，Safari浏览器会主动下载恶意站点中所存储的恶意压缩包并主动解压，从而导致压缩包里面的恶意App落地。

同时，系统会主动将App所支撑的URL scheme进行..，以此将URL scheme与其关系起来并主动指导Safari接见..过的恶意URL scheme关系到恶意App。

其冲击过程分为三个要害点：

1、Safari浏览器——这是绝大多数Mac终端默认的浏览器，其具备“下载后打开‘平安的’文件”设置选项，一旦该选项开启浏览器则认为恶意压缩包是平安的从而导致解压落地。

2、恶意App——Mac上的App多为dmg花样。在其文件构造中，包含了应用到的二进制文件、资源，甚至各类剧本。

行使个中的pdc文件（雷同一种设置文件），恶意App能够在文件中声明所要支撑的URL scheme。

3、恶意站点——当用户收到包含恶意链接的邮件后，打开链接。映入眼帘的是正常的Google搜刮页面，同时指导Safari主动下载恶意压缩包、..到恶意URL scheme并显露伪装后的恶意App运行恳求。

对于终端用户来说，整个冲击过程显得十分隐蔽。时代，用户只会收到一个被伪装成系统提醒的恶意链接，一旦用户点击执行则会启动恶意法式执行。

MacOS检测与监控

除此之外，还有好多针对MacOS的冲击体式，每种对于Mac终端来说都面临着严重的平安威胁。

那么，若何应对如许的平安威胁呢？

一个黑客完整的入侵途径中，可将其划分为初始记录、执行、提权、持久化、汇集取证等阶段，每个阶段都邑有一些典型的冲击手法。其冲击手法及检测法子整顿如下：

1、针对Mac使用子虚App诳骗用户下载执行——能够经由App签名校验与名称是否相符来确认App的真实性；

2、行使隐藏在App资源目录中的剧本执行恶意法式——经由监控历程，恶意剧本平日会被隐藏在需要被付与执行权限的试探目录中，能够认为这是一个非常点。

3、行使微软宏执行的冲击行为——微软宏执行的冲击分为从系统模块导入、挪用vb函数MacScript()和挪用vba函数AppleScriptTask()三种体式，可经由挪用其父子历程进行监测；

4、恶意法式持久化——基于Xprotect对法式路径、哈希、签名等进行检测，对雷同/tmp/的隐藏文件增强存眷；

5、恶意法式权限提拔——直接依靠0day破绽来提权的情形很少见，常见的提权体式有两种：一个是经由App的恶意升级法式来诳骗用户输入暗码获得特权；其次是直接经由App假装正常的应用。

当一个法式去恳求Root认证的时候，最终会对应到一个历程。经由判断历程地点路径及其签名来判断。而对于挪用到系统平安子历程的，能够经由监控该子历程所对应的号令行中是否包含认为恶意的剧本或许法式来加以确认。

6、针对Mac终端收集、窃守信息——常见的手段包含截屏、键盘记录、敏感信息窃取和扩散四种，针对分歧窃取场景的使用特征设计检测截屏频率、执行、安装键盘监控法式等。

王朝飞称，构建根蒂的EDR平日会用到历程收集、历程关系、历程号令行和文件把持监控四类，这四类数据源能够笼盖ATT&CK中120种入侵冲击手段，监控概率接近80%。

“在根蒂监控的根蒂上，若要构建周全的EDR系统，则需收集更多的终端数据。”