日前，蘋果公司正式將XProtect升級至2173版本，并為Atomic Stealer和Adload添加了新的安全規(guī)則?？傮w來說，蘋果公司一直在加強(qiáng)對Mac系統(tǒng)的安全防御，更多行為規(guī)則原型（prototype behavioral rules）已經(jīng)開始進(jìn)行測試，對漏洞修復(fù)的關(guān)注程度也在不斷提升。

然而，隨著Apple的市場份額不斷增加，用戶基數(shù)不斷增長，針對macOS的惡意軟件威脅也變得越來越普遍和復(fù)雜。如果企業(yè)組織不采取額外的安全性防御措施，將難以有效應(yīng)對各種新出現(xiàn)的macOS惡意軟件威脅。

為了幫助企業(yè)組織更安全地應(yīng)用macOS系統(tǒng)，安全研究人員對最近發(fā)現(xiàn)的一些macOS惡意軟件發(fā)展態(tài)勢進(jìn)行了研究分析，并介紹了攻擊者針對macOS系統(tǒng)的攻擊特點(diǎn)和演進(jìn)過程。

1. 持久性不再是Mac信息竊取攻擊的優(yōu)先級

研究人員發(fā)現(xiàn)，2023年macOS惡意軟件呈現(xiàn)出的一個(gè)主要變化就是避開了“持久性”。因?yàn)楫?dāng)前信息竊取程序（infostealers）的攻擊目標(biāo)是盡可能多地竊取用戶的管理密碼、瀏覽數(shù)據(jù)、會(huì)話cookie和密鑰串（keychain），然后將這些信息非法傳送到遠(yuǎn)程服務(wù)器上。有了這些信息，攻擊者就不再需要“持久性”駐留，因?yàn)樗麄儸F(xiàn)在可以輕松地訪問用戶在其本地設(shè)備上存儲(chǔ)的憑據(jù)和賬戶信息。

此外，很多macOS惡意軟件也開始采用定期運(yùn)行的木馬軟件，目的是將用戶的訪問行為變成一種“持久性”的手段。以2023年3月爆發(fā)的3CX攻擊事件為例，針對3CX的攻擊活動(dòng)始于不受支持的X_TRADER金融軟件的木馬化版本，用戶一旦安裝了帶有木馬動(dòng)態(tài)鏈接庫（DLL）的X_TRADER軟件，它就會(huì)自動(dòng)收集信息和竊取數(shù)據(jù)（包括來自多個(gè)瀏覽器的憑據(jù)），并使攻擊者能夠在被攻破的計(jì)算機(jī)上發(fā)布命令。由于不需要通過系統(tǒng)服務(wù)來調(diào)度惡意軟件的執(zhí)行，現(xiàn)有的檢測措施往往難以發(fā)揮作用。

2. 利用社會(huì)工程技術(shù)發(fā)起攻擊

威脅行為者已經(jīng)開始使用更復(fù)雜的社會(huì)工程技術(shù)來攻擊Mac用戶。盡管許多常見的惡意軟件是通過torrent共享網(wǎng)站和第三方軟件下載網(wǎng)站等渠道傳播的，但威脅行為者正在開發(fā)高度針對性的惡意軟件版本，以攻擊目標(biāo)企業(yè)。

在2023年早些時(shí)候，研究人員就發(fā)現(xiàn)了RustBucket惡意軟件利用針對性的應(yīng)用程序來攻擊目標(biāo)組織。它會(huì)將自己偽裝成一個(gè)看似正常的PDF查看器，以商業(yè)交易的方式誘使用戶在不知情的情況下允許其訪問macOS系統(tǒng)。一旦進(jìn)入到了系統(tǒng)，該惡意軟件就會(huì)處于休眠狀態(tài)，從而逃避安全軟件和系統(tǒng)的檢測。專家們強(qiáng)調(diào)，Rustbucket的技術(shù)非常復(fù)雜，能夠悄無聲息地收集用戶的敏感信息，并在不被發(fā)現(xiàn)的情況下進(jìn)行惡意的攻擊活動(dòng)。

【RustBucket第二階段通過curl下載下一階段的攻擊】

研究人員在2023年還發(fā)現(xiàn)了一些不復(fù)雜但具針對性的惡意軟件，目標(biāo)是中小企業(yè)和遠(yuǎn)程辦公人員。例如，macOS MetaStealer活動(dòng)通常以“廣告條款”和“簡報(bào)任務(wù)概述”等社會(huì)工程誘餌瞄準(zhǔn)受害者，這些文件實(shí)際上是包含偽裝成PDF文檔的infostealer惡意軟件的磁盤映像。與RustBucket一樣，其目的是誘導(dǎo)用戶突破macOS本身的安全機(jī)制。

圖片

3. 使用合法的安全性測試工具

長期以來，圍繞Windows環(huán)境下的安全性測試工具一直存在爭議，尤其是Cobalt Strike，它被廣泛破解和泄露，現(xiàn)已被各種攻擊者廣泛利用。同樣的情況現(xiàn)在也開始在macOS惡意軟件領(lǐng)域出現(xiàn)。

例如，Geacon項(xiàng)目就在基于go的有效載荷中封裝了Cobalt Strike功能。編譯后的Geacon二進(jìn)制文件具有多種功能，可用于網(wǎng)絡(luò)通信、加密、解密、下載進(jìn)一步有效載荷和泄露數(shù)據(jù)等任務(wù)。糟糕的是，這些功能已被大量嵌入到假冒的企業(yè)級應(yīng)用程序中（比如SecureLink），針對各種目標(biāo)實(shí)施攻擊。

此外，備受推崇的開源紅隊(duì)工具M(jìn)ythic及其各種有效載荷（特別是Poseidon）也出現(xiàn)在最近的macOS惡意軟件活動(dòng)中，通過內(nèi)置的混淆和加密通信，Poseidon為攻擊者提供了強(qiáng)大的工具包。盡管該工具的初衷是幫助安全供應(yīng)商開發(fā)檢測功能，但由于其也被攻擊者廣泛使用，蘋果公司在目前最新版的惡意軟件攔截服務(wù)XProtect中，不再包含檢測Poseidon有效載荷的簽名。

【容易被混淆的Poseidon有效載荷】

由于這些安全測試工具的特殊性質(zhì)，企業(yè)組織往往很難判斷這些負(fù)載是紅隊(duì)工具還是有威脅的惡意軟件活動(dòng)，需要更加有效的檢測和保護(hù)。

4. “離地”技術(shù)應(yīng)用增加

LOLBins或“離地”（Living-Off-the-Land）技術(shù)在傳統(tǒng)惡意軟件領(lǐng)域有著悠久的使用歷史。在macOS領(lǐng)域，越來越多的攻擊者也逐漸關(guān)注到這種技術(shù)。2023年，最常用的內(nèi)置工具可能是用于收集本地安裝數(shù)據(jù)的system_profiler工具；用于收集操作系統(tǒng)版本和構(gòu)建的sw_vers工具；以及用于下載和泄漏數(shù)據(jù)的curl工具。這些也都是最常見的macOS LOLBins。

圖片

值得一提的是，Adload是2023年和過去兩年左右最常見的惡意軟件家族之一，它使用chmod、xattr和ioreg等LOLBins組合來完成其任務(wù)。

【Adload對LOLBin的使用】

這些工具給防御者帶來了新的挑戰(zhàn)，因?yàn)樗箰阂庑袨楦菀着c合法行為混淆，這正是攻擊者使用它們來實(shí)現(xiàn)攻擊目標(biāo)的原因。當(dāng)然，對執(zhí)行鏈和流程樹的可見性可以幫助威脅獵人了解這些工具是否被濫用，而高級EDR工具也可以自動(dòng)檢測包含LOLBins應(yīng)用的惡意進(jìn)程。

5. 濫用開源軟件進(jìn)行初始妥協(xié)

2023年7月，多家安全供應(yīng)商報(bào)告了一個(gè)名為“JokerSpy”的macOS惡意軟件，但其來源至今仍不確定。JokerSpy包含多個(gè)組件，其中包括兩個(gè)python后門、紅隊(duì)工具SwiftBelt和一個(gè)基于Swift的Mach-O，后者會(huì)試圖偽裝成蘋果自己的XProtect惡意軟件檢查服務(wù)。

對這些組件的分析表明，一些攻擊是通過木馬化QR碼生成器QRLog開始感染的。該惡意軟件隱藏在一個(gè)用Java編寫的正版QR碼生成器中，并將惡意文件QRCodeWriter.java插入到合法項(xiàng)目中。該文件首先確定主機(jī)操作系統(tǒng)，然后下載一個(gè)適當(dāng)?shù)挠行ж?fù)載來啟動(dòng)逆向shell，以允許攻擊者訪問受害者的設(shè)備。

【QRLog惡意軟件木馬化一個(gè)合法的QR碼生成器】

雖然目前還不清楚攻擊者是如何將木馬化軟件傳遞給目標(biāo)的，但在多起企業(yè)入侵事件中切實(shí)發(fā)現(xiàn)了JokerSpy，其中包括一家大型加密貨幣交易所。

確保開源軟件（OSS）根據(jù)已知的材料清單進(jìn)行審查，并確保任何已知的漏洞都得到修補(bǔ)，這是CISA對所有聯(lián)邦機(jī)構(gòu)的建議，私營企業(yè)也在效仿。OSS在包括macOS在內(nèi)的所有平臺(tái)上都呈現(xiàn)出了巨大的攻擊面，威脅參與者將繼續(xù)尋找濫用它的方法來破壞有價(jià)值的目標(biāo)。

6. 使用多層級模塊化惡意軟件

作為2023年最復(fù)雜的供應(yīng)鏈攻擊之一，Smooth Operator活動(dòng)通過惡意篡改3CX的呼叫路由軟件客戶端3CXDesktopApp嚴(yán)重?fù)p害了下游業(yè)務(wù)。

2023年3月，研究人員在感染鏈的macOS端發(fā)現(xiàn)了多種初始和中間階段的惡意軟件。攻擊者精心設(shè)計(jì)了多個(gè)收集受害者環(huán)境信息的階段，增加了研究人員的發(fā)現(xiàn)難度。這些惡意軟件依靠用戶啟動(dòng)被木馬化的應(yīng)用程序來收集有關(guān)主機(jī)3CX賬戶的數(shù)據(jù)，然后會(huì)再將這些信息發(fā)送給攻擊者后自行刪除?？梢钥闯?，攻擊者竭盡全力確保他們投入最后階段惡意軟件的資源不會(huì)被輕易摧毀。對于防御者來說，這是令人擔(dān)憂的，因?yàn)槿绱酥?jǐn)慎的一個(gè)原因是保護(hù)高價(jià)值的零日漏洞不被暴露。

類似的，發(fā)生于2023年7月的JumpCloud入侵活動(dòng)，也使用了多級隱身技術(shù)來保護(hù)后期有效載荷。研究人員將這兩起攻擊歸咎于與朝鮮有關(guān)的威脅行為者，他們的重點(diǎn)是供應(yīng)鏈攻擊，以竊取敏感的企業(yè)信息，并將其用于進(jìn)一步、更具針對性的入侵。研究人員預(yù)計(jì)，后續(xù)出現(xiàn)進(jìn)一步的macOS惡意軟件活動(dòng)將是不可避免的。

參考鏈接：https://www.sentinelone.com/blog/macos-malware-2023-a-deep-dive-into-emerging-trends-and-evolving-techniques/