一直以來，macOS系統(tǒng)的最大特點之一就是較少受到惡意軟件的困擾。研究數據顯示：在過去5年中，嚴重困擾Windows終端用戶的勒索軟件攻擊并未在Mac設備上大量重現，鎖定Mac設備或數據并向其所有者勒索贖金的攻擊模式目前還難以實現。

然而，竊取有價值的數據并以惡意的方式將其貨幣化，這種攻擊策略在各個操作系統(tǒng)上都很常見。在macOS系統(tǒng)上，非法攻擊者也同樣在竊取會話cookie、Keychain（密鑰串）、SSH密鑰等信息，并通過廣告軟件或間諜軟件等惡意進程違規(guī)收集數據。這些數據可以在各種地下論壇和暗網市場中銷售，或者直接應用于各種網絡攻擊活動。

本文梳理總結了macOS系統(tǒng)中最容易被竊取的7種數據資產類型，以幫助安全運營人員更好地保護企業(yè)，并識別潛在的風險跡象。

01會話cookie數據

macOS惡意軟件的最常見攻擊目標就是存儲在用戶設備上的會話cookie。為了方便和提高用戶的使用效率，macOS系統(tǒng)上的瀏覽器和許多企業(yè)級應用程序通常都會允許用戶保持登錄狀態(tài)，直到他們明確退出。這是通過在設備上存儲會話cookie來實現的。如果攻擊者竊取了這些cookie，他們就可以在不同的MAC設備上使用這些cookie來登錄，而無需身份驗證。

在近期發(fā)生的CircleCI入侵事件中，Mac電腦的會話cookie就被違規(guī)竊取。根據CirlceCI的公開聲明顯示：“我們已經了解到，一個未經授權的第三方利用部署到CircleCI工程師筆記本電腦上的惡意軟件，竊取了一個有效的SSO會話。該設備于2022年12月16日被入侵?，F有的殺毒軟件沒有檢測到惡意軟件。調查表明，該惡意軟件能夠執(zhí)行會話cookie盜竊，并在遠程位置模擬目標員工，然后實現對公司業(yè)務系統(tǒng)的訪問?！?/p>

在macOS系統(tǒng)中，會話cookie通常位于用戶或進程可以訪問的位置，盡管這些位置（例如用戶庫cookie文件夾）通常會受到“透明、同意和控制”（TCC）框架的限制，但是研究人員發(fā)現，TCC雖然對正常使用者來說是一種管控措施，但對攻擊活動來說很難構成有效的限制。

以下是在macOS上存儲會話cookie的位置的一些常見示例：

此外，與應用系統(tǒng)相關的數據庫也是犯罪分子的攻擊目標。弱加密的數據庫可以通過一些用戶密碼知識就能輕松解密，且通常被惡意軟件安裝程序在最初的攻擊中獲取到。例如，Zoom的加密數據庫就是Pureland infostealer的目標。

【pureland Infostealer搜索Zoom加密數據庫】

02用戶的密碼管理文件

在用戶的Mac電腦上，最重要的數據可能是用戶的密鑰管理文件，這是一個用于存儲密碼、身份驗證令牌和加密密鑰的加密數據庫。密鑰管理文件使用了強大的加密技術，不能簡單地通過竊取數據庫甚至訪問計算機來破解。然而，密鑰管理文件的弱點是，如果攻擊者掌握了用戶的登錄密碼，其中存儲的隱私信息就可以全部被解鎖。如果該密碼很弱，很容易被猜到，或者由于使用者的疏忽而錯誤提供給惡意進程，那么密鑰管理文件的加密強度將完全起不到作用。

研究數據顯示，密鑰管理文件已經成為非法攻擊者的目標。最近的例子包括DazzleSpy和一種被稱為“KeySteal”的威脅，這種威脅最初是由趨勢科技的研究人員于2022年11月份發(fā)現。蘋果公司在今年3月發(fā)布的XProtect v2166和XProtectRemediator中才添加了KeySteal檢測功能。

KeySteal的目標文件與.keychain和keychain-db文件擴展名存在以下位置：

【枚舉macOS密鑰管理文件的惡意函數】

當密鑰管理文件被查詢后，就會被base64編碼，并通過名為JKEncrypt的開源中文加密庫進行加密，JKEncrypt是一種“自制”加密函數，使用傳統(tǒng)的3DES算法。

03用戶登錄密碼信息

如上所述，用戶的密鑰管理文件對未經授權的一方用處不大，除非他們也擁有登錄用戶的密碼，而且由于登錄密碼對于Mac設備上的幾乎所有操作都是必要的身份驗證，因此它們受到惡意攻擊者的高度追捧。

用戶登錄密碼竊取可以通過多種方式實現：通過欺騙、通過鍵盤記錄或者一些簡單的任務請求授權，然后將該授權用于非法的攻擊活動。

惡意軟件通常會要求受害者提升權限，這樣它就可以安裝一個特權可執(zhí)行文件，隨后以高級用戶身份來運行，完成攻擊者想要完成的各種任務。CloudMensis/BadRAT間諜軟件就是一個很好的例子。

【CloudMensis/BadRAT會向用戶發(fā)出權限升級的請求】

04 瀏覽器中的密碼及相關數據

許多macOS用戶會利用瀏覽器來存儲網站登錄憑據和密碼，以及其他有用的數據，如用戶填寫的登錄憑證、瀏覽器歷史、搜索歷史和下載歷史，這也是非法攻擊者非常感興趣的信息。

以Pureland infostealer的惡意攻擊活動為例，Pureland執(zhí)行以下命令作為getChromeSSPass函數的一部分：

security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}' > /Users/

【Pureland Infostealer上與Chrome數據盜竊相關的字符串】

不過，該惡意進程需要具備更高的權限，并繞過通常的TCC控制才能成功，否則用戶將會收到有關該嘗試的安全警告。

05SSH密鑰信息

攻擊者一旦擁有macOS用戶的SSH密鑰，就可以在受害者的系統(tǒng)上驗證自己的身份。SSH文件夾還會允許攻擊者訪問同一系統(tǒng)上的其他帳戶或同一網絡上的其他系統(tǒng)配置文件。除了竊取SSH密鑰之外，如果攻擊者能夠獲得SSH文件夾的讀寫訪問權，他們還可以通過分發(fā)自己的授權密鑰以實現后門遠程訪問。

2022年5月，macOS Rust開發(fā)人員就淪為了CrateDepression SSH密鑰竊取攻擊的目標，本次攻擊活動影響了在其MAC設備上設置了GITLAB_CI環(huán)境變量的用戶，這也表明攻擊者對用于軟件開發(fā)的持續(xù)集成（CI）管道感興趣。一旦攻擊成功入侵主機設備，就會觸發(fā)Poseidon有效載荷，其中包括搜索和竊取SSH密鑰。

【Poseidon代理搜索妥協(xié)設備上的SSH和AWS密鑰】

同樣值得注意的是，除了硬編碼SSH數據盜竊的惡意軟件外，任何能夠將文件上傳到遠程服務器的后門RAT都可以搜索SSH密鑰。

06macOS系統(tǒng)環(huán)境信息

許多macOS惡意軟件的一個常見行為是從設備中查詢和竊取各種環(huán)境信息數據。出于各種原因，這可以用于偽造設備的特征指紋，包括選擇性地發(fā)送惡意軟件和執(zhí)行惡意軟件。例如，C2可以自動交付特定平臺、特定版本的惡意軟件。類似地，威脅行為者還可能會向各種受害者分發(fā)特定的（其環(huán)境與攻擊者的興趣相匹配）攻擊載荷。

如果攻擊者對目標環(huán)境有深入了解，則可以創(chuàng)建針對該信息的散列，僅在受感染設備的信息匹配時才執(zhí)行。這種有選擇性的傳遞和執(zhí)行，可以使得攻擊者更高效的實施攻擊活動，同時更難以被發(fā)現。DazzleSpy就是這種惡意攻擊的一個真實事例，該惡意軟件會輪詢（poll）其環(huán)境以獲取大量的環(huán)境數據。

【DazzleSpy非常詳細地監(jiān)視它的主機環(huán)境】

07粘貼板中的內容信息

當用戶通過快捷鍵“Cmd-C”執(zhí)行復制功能時，粘貼板或剪貼板就會在內存中存儲文本、圖像和其他數據。

對于惡意軟件開發(fā)者來說，粘貼板很有吸引力，因為它是密碼、加密貨幣地址和其他數據竊取的有效途徑。例如，一些加密貨幣竊賊會監(jiān)視用戶將錢包地址復制到粘貼板上，然后將其替換為屬于攻擊者的地址。

獲取并寫入粘貼板相對容易，因為蘋果提供了Foundation框架NSPasteboard api，以及Unix命令行實用程序pbcopy和pbpaste。

EggShell RAT就是一個很好的例子。這個自定義版本被用于XcodeSpy惡意軟件。

【getPasteBoard函數被用于XcodeSpy惡意軟件】

防護建議

隨著Mac電腦設備在企業(yè)生產和開發(fā)團隊中越來越受歡迎，存儲在Mac電腦上的數據對攻擊者來說正變得越來越重要。企業(yè)要緩解各種類型的數據竊取攻擊，首先需要部署一個完善的端點安全解決方案，它既可以快速識別并阻止惡意軟件，也可以讓安全團隊看到設備上正在發(fā)生的事情。

此外，安全運營人員還應該定期監(jiān)控試圖訪問密鑰鏈、SSH和上面討論的其他文件路徑的進程。

最后，盡管macOS系統(tǒng)的TCC機制還有很多不完善的地方，但保持macOS系統(tǒng)的及時更新仍然至關重要，因為蘋果公司會定期升級TCC框架，并修補研究人員報告的其他安全漏洞，降低MAC設備的使用風險。