macOS上的恶意软件

=Start=

缘由：

临近国庆假期，事情不多，工作之余就有点时间学习一下感兴趣但平时没时间研究和了解的内容。最近看的比较多的是macOS上和安全相关的内容，简单记录一下，方便以后参考。

正文：

参考解答：

macOS系统更安全？

（在我的认知范围内）对于macOS来说，它的常见/主要威胁在于被社会工程学攻击之后“主动安装的”恶意软件的行为方式带来的威胁，而不像Windows那样（不需要复杂社工/钓鱼的）远程RCE也“相对常见”，也不像Linux那样主要是服务器在用因此面临更多的弱口令爆破和系统/应用漏洞的威胁。

相信在多数用户的印象里，macOS系统几乎不会受到病毒的影响。一方面，由于Windows市场占有率大，吸引了绝大部分的黑客和病毒攻击，从而显得针对macOS系统的攻击较少；另一方面，得益于苹果商店对软件严格的审核机制，也极大地降低了病毒入侵macOS系统的可能性，有效保证了用户安全。

就我个人的使用经验和习惯来看，macOS作为个人电脑使用时确实比Windows系统要更“默认安全”一些，对于用户来说自主性更大——（一般情况下）如果用户了解一些系统安全特性，形成了更好的安全意识，软件和系统的使用也就会更安全，整体的使用体验和安全性也就更好。简单梳理一下大概以下几点：

macOS 并非一个开放的系统，它的安全一定程度上来源于信息的不公开，而且用户群体相对较少，吸引的安全研究和攻击也相对较少（Windows系统并非不安全，而是盯着的人太多，研究的时间太长，用户群体又大，难免不出问题）；
默认安全的设计 & 相对简单透明的隐私权限管理；
具体的体现就像是 App Store / Gatekeeper / SIP / FileVault / Keychain 等；
在保证安全性的同时也很大程度上保留/提升了用户体验。

macOS上恶意软件的主要传播途径

通过整理和分析近两年macOS系统上影响较为严重的恶意软件威胁事件发现，目前macOS系统上恶意软件传播途径主要有两种：

一是通过仿冒软件官方网站散播恶意代码的软件包；
二是利用第三方下载渠道进行定点投毒。

还有一种威胁传播途径，虽然它的传播范围不广，但是非常有针对性，它就是“定向钓鱼”攻击，在企业安全内部的红蓝对抗和每年的hvv活动中屡见不鲜。虽然套路简单，且企业内部的安全意识培训中每次都会提及，但因为人性的弱点，只要钓鱼话术设计得当，没有不中招的。

但如何仿冒软件官方网站和对第三方甚至官方下载渠道进行投毒这里不涉及，钓鱼的方式和话术也不涉及，感兴趣的可以去检索相关文章进行学习，这里只是简单记录一下macOS用户被“钓鱼”/“投毒”之后那些恶意软件的常见行为，方便后面分析和参考。

CrowdStrike整理的macOS恶意软件分类

勒索软件——谋利导向
后门软件——远程访问，持久化控制
木马软件——窃取数据
其它

CrowdStrike整理的macOS恶意软件文件类型

恶意软件开发人员经常试图隐藏或掩盖文件类型，欺骗用户执行。当软件的执行/启动越简单、和工作生活中的操作习惯越接近、引发的系统弹窗提醒越少，用户执行的概率也就更大。

尽管大多数恶意软件都是编译过的二进制文件（为了使得分析更困难），但在分析macOS恶意软件时通常会遇到许多非二进制文件，对于攻击者而言，每一种都有自己的优点和缺点。例如：

苹果的磁盘镜像（dmg）由于在执行时会自动安装，因此在恶意软件中很常见。OSX.EvilQuest和OSX.Shlayer恶意软件通常使用这种文件类型。
Packages（.pkg、.mpkg）是另外一种经常被恶意软件滥用的文件类型，因为它们允许恶意软件开发者自定义预安装和后安装脚本并通过安装程序自动运行。例如：OSX.EvilQuest在挂载.dmg文件后使用一个恶意包，它包含一个后安装脚本，可以将二进制文件OSX.EvilQuest复制到/Library/mixednkey/下，并命名为toolroomd。
AppleScripts或AppleScript变体（如执行自动化重复任务的Run-only）经常被挖矿软件OSA.OSAMiner滥用。

macOS上窃取数据和持久化控制的一些方法记录

尽量无感（基本不需要用户交互）

借助Chrome恶意插件窃取cookie，以达到窃取数据的目的（当然这里除了浏览器cookie之外，只要特定敏感文件的访问未做控制的也可以直接读取外发）
往 LaunchAgents/LaunchDaemons 目录添加恶意plist以执行反弹shell等命令，以达到窃取数据以及持久化访问控制的目的
往定时任务中插入代码以定期回连保持通信和执行特定操作，以达到窃取数据以及持久化访问控制的目的
键盘记录器（这个待测试后确认是否无感）
检索并回传电脑上等特定目录文件
感染/注入电脑上的其它软件以达到特定目的（隐藏自身/窃取数据/持久化/……）
利用组合漏洞直接搞定系统/内核（类似于Pwn2Own大赛中的0click/1click的一键搞定系统权限那种）

需要用户输入电脑密码

安装自定义pkg，需要用户输入密码，不过一旦用户输入密码，在Scripts里指定的操作就具备了sudo操作的权限，之后的恶意操作方便了很多
使用类似HackBrowserData工具提取浏览器中的账号密码和cookie信息

记录着记录着发现实际记录的内容和最开始的想法不太一样，有点跑偏了……算了，先这样吧，有时间了再慢慢补充和晚上。

参考链接：

卡巴斯基：Mac OS 用户网络威胁调查报告
https://mp.weixin.qq.com/s/dXwbssXbra5CCbUxtfbJTw

年中盘点：详细分析2019年上半年爆发的macOS恶意软件
https://mp.weixin.qq.com/s/PsFo25Xz3q5R6N6RKQ28dg

macOS恶意软件概述
https://mp.weixin.qq.com/s/M4xB6A1oR8POGqzkgdzKEw
https://www.crowdstrike.com/blog/how-crowdstrike-analyzes-macos-malware-to-optimize-automated-detection-capabilities/

macOS常见病毒传播流程及代表性病毒分析
https://mp.weixin.qq.com/s/MchmlyRFmUfVU5a4YX6KIA

2018年影响MAC-OS的恶意软件(含APT)汇总报告
https://mp.weixin.qq.com/s/OtPnH_dLqFv8Tkmk_XnMWA

macOS恶意软件排查实践指南
https://mp.weixin.qq.com/s/kEuzY-0qxIrV4Ip4Z7upAA
https://www.sentinelone.com/blog/malware-hunting-macos-practical-guide/

特权提升攻防揭秘：macOS恶意软件如今还需要root提权吗？
https://mp.weixin.qq.com/s/LqOFwKvZ5vGMKguNnu2aag
https://www.sentinelone.com/blog/privilege-escalation-macos-malware-the-path-to-root-part-2/

Mac恶意软件窃取电报账户、Chrome密码、微信、联系人、印象笔记、Skype等敏感数据
https://mp.weixin.qq.com/s/wcT4PO76vakmQQ68nnzBHw

Formbook恶意软件框架在macOS的演变历程
https://mp.weixin.qq.com/s/Gs9LRJMF_8XtPPodiWM2Jg

APT Lazarus利用macOS恶意软件针对工程师进行攻击
https://mp.weixin.qq.com/s/11Xe_U_nkC-iGsxzkRLXIA

=END=

8 10 月, 2022

Docker

KnowledgeBase, Mac, Security

macOS, malware, Security, 恶意软件, 病毒