首页
论坛
课程
招聘
[分享]新的AdLoad恶意软件变种可以通过苹果的XProtect防御
2021-8-13 11:44 5380

[分享]新的AdLoad恶意软件变种可以通过苹果的XProtect防御

2021-8-13 11:44
5380

美国网络安全公司SentinelOne跟踪发现一种新的AdLoad恶意软件变种,正在通过 Apple基于YARA签名的XProtect内置防病毒技术感染Mac。

 

AdLoad是一种针对macOS平台的广泛木马 ,至少自 2017年末以来用于部署各种恶意负载,包括广告软件和潜在不需要的应用程序 (PUAs),该恶意软件还可以获取系统信息,随后发送到其运营商控制的远程服务器。

七月以来越来越活跃

根据SentinelOne威胁研究员的说法,这些大规模和持续的攻击最早在2020年11月就开始了,从今年7月、8月初开始活动增加。

 

一旦感染Mac,AdLoad就会安装一个中间人(MiTM)网络代理来劫持搜索引擎的结果,并将广告注入网页以获取利润。

 

通过安装LaunchAgents和LaunchDaemons以及在某些情况下每两个半小时运行一次的用户cronjobs,它还可以在受感染的Mac上持续运行。

 

在监控此活动时,研究人员观察到220多个样本,其中150个样本是独一无二的,并且没有被Apple的内置防病毒软件检测到,尽管XProtect现在带有大约十几个AdLoad签名。

 

SentinelOne检测到的许多样本也使用Apple颁发的有效开发者ID证书进行签名,而其他样本也经过公证以在默认Gatekeeper设置下运行。

 

目前发现XProtect上次更新是 6月15日左右。

 

“数百个知名广告软件变种的独特样本已经传播了至少10个月,但苹果内置恶意软件扫描仪仍未检测到这一事实表明,有必要为Mac设备添加进一步的终端安全控制。”

难以忽视的威胁

从这个角度来看,另一种常见的macOS恶意软件Shlayer也曾绕过XProtect,并通过其他恶意负载感染mac电脑,它已经攻击了卡巴斯基监控的超过10%的苹果电脑。

 

它的开发者还通过苹果的自动公证程序获得了他们的恶意软件,并包括禁用Gatekeeper保护机制的能力,以运行未签名的第二阶段有效负载。

 

Shlayer最近还利用macOS 0day绕过苹果的文件隔离、Gatekeeper和公证安全检查,并在受影响的mac电脑上下载第二阶段恶意负载。

 

 

虽然AdLoad和Shlayer现在只部署广告软件和捆绑软件作为次级有效载荷,但它们的创造者可以随时迅速切换到更危险的恶意软件,包括勒索软件或雨刷。

 

苹果软件部门负责人克雷格·费代里吉在5月份Epic Games与苹果公司的庭审中作证时称:“今天,我们发现Mac上的恶意软件已经到了我们无法接受的程度,比iOS还要糟糕得多。”

 

网络安全问题关系着社会科技的进步与发展,做好网络安全防御势在必行。在日常生活中,除了需要及时更新软件补丁修复漏洞,尽可能缩短0day漏洞在系统和应用软件中的存在时间,还有以下2点需要做好:

 

1,从外部上加强网络入侵防御系统建设

 

入侵防御系统本质上是入侵检测系统和防火墙的有机结合,对于网络入侵防御系统(NIPS)而言,在网络环境中的部署应当注意对攻击的防范。在网络边界方面,NIPS工作的重点在于执行对于数据流的分析,从传输特征和协议两个方面展开对于传输请求的检查。

 

2,从软件内部上加强代码安全减少系统漏洞

 

数据显示,超过六成的安全漏洞与代码有关,代码静态分析技术可以帮助用户减少30-70%的安全漏洞。做好代码静态检测,可以防范那些绕过防火墙躲过病毒查杀的攻击者,从内部减少系统缺陷稳固系统安全,减少数据泄露事件的发生。

 

参读链接:

https://www.woocoom.com/b021.html?7&id=7d54fa78104a4998923a59873a788d20

bleepingcomputer.com/news/apple/new-adload-malware-variant-slips-through-apples-xprotect-defenses/


【公告】欢迎大家踊跃尝试高研班11月试题,挑战自己的极限!

收藏
点赞2
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回