一次针对Mac终端的入侵
某次实战攻防演习期间,攻击队伪装成目标单位IT团队,向部分员工投递了一封钓鱼邮件。
邮件内容大致如下:近日公司监测到Safari浏览器被曝出存在高危漏洞,请使用该浏览器的员工及时安装补丁包,安装教程和补丁包参见附件。
在所谓安装教程指引下,恶意附件成功在中招员工的电脑上执行,使攻击队得以接管电脑控制权限,实现对办公网的入侵。
变化的Mac终端安全性
长期以来,发生在Mac终端上的网络攻击并不多见。在所有用户中,不乏大量对其安全性的忠实拥护者。
相较于Windows终端,Mac终端具备更严格的信任和授权机制。其自带的Gatekeeper、系统完整性保护(SIP )等安全机制,能够确保可信软件来源、保护系统的某些关键部分免受未授权的修改,并阻止可疑进程。比如:
与此同时,苹果公司还提供了XProtect 防病毒技术,可基于签名对抗已知恶意软件。或许是出于对安全性的信任、对性能损耗的担忧或者是系统兼容性问题等原因,许多用户并没有选择在Mac终端上安装三方安全软件。但事情总会发生一些变化。
不断暴露的攻击面
随着安全研究的不断深入,苹果自身的安全问题在不断被发现,包括系统和应用软件(如Safari浏览器)的漏洞以及Gatekeeper、SIP、XProtect本身存在被绕过的可能。为了对抗安全机制,攻击手段往往更加隐蔽也更具迷惑性。2023年11月,苹果公司发布其Safari浏览器的漏洞修复版本。该漏洞只要用户访问Safari恶意网页链接即可感染,使得攻击者获得对设备的控制权并从中窃取数据。
而且由于机制原因,用户在安装、运行某些软件时,会选择允许任何来源文件执行,这在一定程度上增加了恶意软件入侵的风险。
持续上升的恶意软件另一方面,针对Mac终端的恶意软件也在迅速上升。2023年4月,安全研究人员发现了被认为是首款针对Mac终端的勒索软件,开发商则是臭名昭著的勒索软件即服务(RaaS)提供商LockBit。尽管研究表明该勒索软件仅被用于测试,但这也充分表明,Mac终端已经走进了大型黑产团伙的视野。在对抗未知恶意软件方面,基于签名技术的XProtect并不会比杀毒软件高明许多,尚难以做到实时拦截。
根据微步长期以来对针对Mac终端网络攻击的跟踪,目前攻击手法主要包括以下三种:
通过信息诱导和伪装,让用户主动下载恶意软件;
通过邮件、IM等渠道进行社工钓鱼,向目标进行投递;
通过0day漏洞、供应链投毒的形式,接管目标设备控制权限。
埃森哲2023年8月发布的数据显示,相比较 2019 年,针对 macOS 系统的网络攻击数量增加了 10 倍,其中大部分安全事件发生在过去 18 个月内。
三大模块为Mac终端保驾护航
为了应对这些挑战,微步于近日宣布,正式推出针对Mac用户的终端安全防护产品——OneSEC Mac版。OneSEC Mac版全面继承了Windows版的先进功能和强大性能,能够在极少占用系统资源的情况下,确保用户在Mac终端上享受到同样出色的安全保护。
OneSEC Mac版具备以下三大核心功能模块:
文件检测与DNS防护:OneSEC Mac版具备多维度的智能检测技术,深度集成了46款国际权威云检测引擎、基于AI的OneAV引擎、百亿级别的恶意Hash样本,能够实时检测并拦截Mac pkg包、破解版Mac应用、双层文件名、伪装图片文件名、异常macho文件等各类伪装恶意软件;针对恶意文件的外连情形,OneSEC Mac版可结合高精准威胁情报,实时监测DNS解析过程,阻断恶意软件反连C2服务器。
终端行为采集与威胁检测:OneSEC Mac版能够全量采集终端行为数据,包括文件行为事件、进程行为事件、网络行为事件等,结合威胁情报IoC、攻击行为IoA,运用图关联检测技术可从多个维度交叉检测、综合评判,全面、精准发现无文件攻击、域前置等各类高级、隐蔽性攻击手法。
事件响应与处置:OneSEC Mac版能够精准定位进程源头、执行源头、事件源头,全面追溯攻击路径,并在此基础上提供快速的处置和清除能力,包括文件隔离、进程隔离和网络隔离等手段,可对常见威胁下发自动化响应策略;对于较为复杂的攻击链,可结合MEDR托管服务给出综合处置建议 。
自OneSEC推出以来,产品已在金融、央企、大型互联网企业等头部客户落地应用,并多次捕获黑灰产工具、0day利用、无文件攻击等高级威胁。此次OneSEC Mac版的推出,将有效填补Mac终端高级威胁防护领域的缺失,为用户提供更加全面、高效的安全保护。随着网络安全形势的不断变化,用户对于网络安全的需求也将不断增长。微步在线将继续加大研发投入,不断创新产品和技术,为用户提供更加优质、高效的网络安全产品和服务。
原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/3534.html