办公用Mac到底安全不安全

lishengli • 2024年5月15日 pm12:23 • 网安资讯 • 阅读 96

一次针对Mac终端的入侵

某次实战攻防演习期间，攻击队伪装成目标单位IT团队，向部分员工投递了一封钓鱼邮件。

邮件内容大致如下：近日公司监测到Safari浏览器被曝出存在高危漏洞，请使用该浏览器的员工及时安装补丁包，安装教程和补丁包参见附件。

在所谓安装教程指引下，恶意附件成功在中招员工的电脑上执行，使攻击队得以接管电脑控制权限，实现对办公网的入侵。

变化的Mac终端安全性

长期以来，发生在Mac终端上的网络攻击并不多见。在所有用户中，不乏大量对其安全性的忠实拥护者。

相较于Windows终端，Mac终端具备更严格的信任和授权机制。其自带的Gatekeeper、系统完整性保护(SIP )等安全机制，能够确保可信软件来源、保护系统的某些关键部分免受未授权的修改，并阻止可疑进程。比如：

与此同时，苹果公司还提供了XProtect 防病毒技术，可基于签名对抗已知恶意软件。或许是出于对安全性的信任、对性能损耗的担忧或者是系统兼容性问题等原因，许多用户并没有选择在Mac终端上安装三方安全软件。但事情总会发生一些变化。

不断暴露的攻击面

随着安全研究的不断深入，苹果自身的安全问题在不断被发现，包括系统和应用软件(如Safari浏览器)的漏洞以及Gatekeeper、SIP、XProtect本身存在被绕过的可能。为了对抗安全机制，攻击手段往往更加隐蔽也更具迷惑性。2023年11月，苹果公司发布其Safari浏览器的漏洞修复版本。该漏洞只要用户访问Safari恶意网页链接即可感染，使得攻击者获得对设备的控制权并从中窃取数据。

而且由于机制原因，用户在安装、运行某些软件时，会选择允许任何来源文件执行，这在一定程度上增加了恶意软件入侵的风险。

持续上升的恶意软件另一方面，针对Mac终端的恶意软件也在迅速上升。2023年4月，安全研究人员发现了被认为是首款针对Mac终端的勒索软件，开发商则是臭名昭著的勒索软件即服务(RaaS)提供商LockBit。尽管研究表明该勒索软件仅被用于测试，但这也充分表明，Mac终端已经走进了大型黑产团伙的视野。在对抗未知恶意软件方面，基于签名技术的XProtect并不会比杀毒软件高明许多，尚难以做到实时拦截。

根据微步长期以来对针对Mac终端网络攻击的跟踪，目前攻击手法主要包括以下三种：

通过信息诱导和伪装，让用户主动下载恶意软件;

通过邮件、IM等渠道进行社工钓鱼，向目标进行投递;

通过0day漏洞、供应链投毒的形式，接管目标设备控制权限。

埃森哲2023年8月发布的数据显示，相比较 2019 年，针对 macOS 系统的网络攻击数量增加了 10 倍，其中大部分安全事件发生在过去 18 个月内。

三大模块为Mac终端保驾护航

为了应对这些挑战，微步于近日宣布，正式推出针对Mac用户的终端安全防护产品——OneSEC Mac版。OneSEC Mac版全面继承了Windows版的先进功能和强大性能，能够在极少占用系统资源的情况下，确保用户在Mac终端上享受到同样出色的安全保护。

OneSEC Mac版具备以下三大核心功能模块：

文件检测与DNS防护：OneSEC Mac版具备多维度的智能检测技术，深度集成了46款国际权威云检测引擎、基于AI的OneAV引擎、百亿级别的恶意Hash样本，能够实时检测并拦截Mac pkg包、破解版Mac应用、双层文件名、伪装图片文件名、异常macho文件等各类伪装恶意软件;针对恶意文件的外连情形，OneSEC Mac版可结合高精准威胁情报，实时监测DNS解析过程，阻断恶意软件反连C2服务器。

终端行为采集与威胁检测：OneSEC Mac版能够全量采集终端行为数据，包括文件行为事件、进程行为事件、网络行为事件等，结合威胁情报IoC、攻击行为IoA，运用图关联检测技术可从多个维度交叉检测、综合评判，全面、精准发现无文件攻击、域前置等各类高级、隐蔽性攻击手法。

事件响应与处置：OneSEC Mac版能够精准定位进程源头、执行源头、事件源头，全面追溯攻击路径，并在此基础上提供快速的处置和清除能力，包括文件隔离、进程隔离和网络隔离等手段，可对常见威胁下发自动化响应策略;对于较为复杂的攻击链，可结合MEDR托管服务给出综合处置建议。

自OneSEC推出以来，产品已在金融、央企、大型互联网企业等头部客户落地应用，并多次捕获黑灰产工具、0day利用、无文件攻击等高级威胁。此次OneSEC Mac版的推出，将有效填补Mac终端高级威胁防护领域的缺失，为用户提供更加全面、高效的安全保护。随着网络安全形势的不断变化，用户对于网络安全的需求也将不断增长。微步在线将继续加大研发投入，不断创新产品和技术，为用户提供更加优质、高效的网络安全产品和服务。