為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?

2024.02.12



安全行動安全
蘋果在安全方面的做法與其他作業系統供應商不同,這本身並無好壞之分,重要的是管理員要清楚知道他們的作業系統是如何處理安全事件的。一個好的、安靜的系統不一定代表一個安全可靠的系統。

人們普遍認為macOS比Windows更安全,於是乎許多中小企業就利用macOS來追求安全性,但對於完全依賴macOS來確保安全的中小型企業來說,這是非常危險的。例如,用戶將找不到macOS中內建的類似Defender的安全中心。

在這篇文章中,我們將從三方面介紹macOS安全性,這對於目前沒有在macOS設備上部署額外終端保護的企業來說是至關重要的。

蘋果的平台安全策略

蘋果最近一次關於在macOS上防範惡意軟體介紹的更新是在2022年5月,最新公開文件指出,其惡意軟體防禦分為三方面:

防止惡意軟體啟動或執行:App Store或Gatekeeper與Notarisation的結合;

阻止惡意軟體在客戶系統上運作:Gatekeeper、Notarisation和XProtect;

修復已執行的惡意軟體:XProtect,macOS 內建了稱為XProtect 的防毒技術,可基於簽章偵測和移除惡意軟體。系統使用由Apple 定期更新的YARA 簽名,YARA 是一款用來基於簽名檢測惡意軟體的工具。你可以認為它是macOS 系統中的「Defender」。

不過這些技術的透明性和可做作性都不是太好,例如,不可能允許或排除使用者或裝置之間的特定應用程式或程式碼。在單一裝置上,使用者可以製定非常廣泛的系統策略決策,例如允許或拒絕來自App Store外部的所有應用程序,但即便如此,除非系統由行動裝置管理平台(MDM)解決方案管理,否則本地用戶在沒有管理員權限的情況下也可以覆寫該策略。

從企業安全的角度來看,更令人擔憂的是,幾乎看不到哪些程式碼被阻止,何時以及為什麼被阻止,也不清楚這些掃描是何時執行的,也不知道它們的有效性。另外就是惡意軟體修復會在後台悄無聲息地發生,而不會向使用者發出提示或警告。在企業環境中,這些遠遠不夠的,因為安全維護人員無法掌握資訊。如果要充分保護企業,安全團隊需要了解惡意軟體是何時出現在系統的,存在了多長時間以及惡意軟體的攻擊源在哪裡等。

1. XProtect簽章經常會忽略一些最新的惡意軟體

根據蘋果的說法,macOS內建了名為XProtect的防毒技術,用於基於簽章的惡意軟體偵測和刪除。該系統使用YARA簽名,這是一種用於進行基於簽名的惡意軟體檢測的工具,蘋果會定期更新。

蘋果XProtect的最後一次更新,包含這些YARA簽署的bundle是在6月29日開發的,但根據設備的位置,更新可能要幾天後才能發布。

為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?

不幸的是,這次更新沒有包括對文件簽名的任何更改,蘋果稱這些更改增強了XProtect的阻止能力。 YARA檔案具有與去年2月更新的版本2166相同的雜湊。

為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?

如果從版本號來看,在過去的12個月裡,XProtect的YARA規則應該有7次更新,但實際上在網路安全公司SentinelOne的測試設備中只觀察到3次。此外,去年11月發布的2165版本與最近發布的版本之間的差異僅僅是增加了針對兩個惡意軟體家族的規則:一個針對Keysteal,2019年2月7日。德國安全研究人員Linus Henze 發現了macOS 零日漏洞,名為「KeySteal」,它可以用來獲取Mac 用戶在鑰匙串存取應用中儲存的所有敏感資料;另兩個是Honkbox。

由於在過去的幾個月裡,SentinelOne和許多其他供應商都報告了多種新的macOS惡意軟體,因此完全依賴XProtect規則的使用者和管理員應該提高防護意識。

2. XProtectRemediator會隱藏攻擊痕跡

XProtect Remediator 是現有XProtect 系統工具的補充。去年九月,在macOS 12.3 Monterey 發布前後,蘋果悄悄為其XProtect 服務推出了一種新的XProtect Remediator 工具,該工具可在後台檢查惡意軟體。 XProtect Remediator 會更頻繁地尋找惡意軟體並在偵測到惡意軟體時進行修復。儘管蘋果的主要惡意軟體攔截工具缺乏更新,但其一直在定期更新其MRT替代工具XProtectRemeditor。 XProtectRemeditor每天每6小時執行一次,尋找已知惡意軟體家族。

對於資訊竊取者來說,6個小時的時間太長了,尤其是他們只需要幾秒鐘就可以完成工作。會話cookie是攻擊者進一步潛入組織的主要目標,並將單一Mac的攻擊轉化為嚴重的漏洞,例如最近在CircleCI發生的情況。 CircleCI是一個非常受歡迎的CI/CD持續整合開發平台,號稱向超過一百萬軟體工程師用戶提供「快速可靠的」開發服務。

如上所述,macOS上沒有使用者介面來讓使用者了解哪些惡意軟體已被修復,何時以及如何被引入系統。然而,從macOS Ventura開始,沒有第三方可見性工具的系統管理員可以嘗試利用macOS 13引入的eslogger工具。 Apple 並不經常為我們提供專門針對安全性的新工具,但ESLogger 看起來對安全從業人員、惡意軟體分析師和威脅偵測工程師來說可能非常有用。根據發布的該工具的手冊頁,ESLogger 與Endpoint Security 框架共同記錄ES 事件,這些事件可以輸出到檔案、標準輸出或統一的日誌系統。 Apple 也透過在ES 框架中添加更多NOTIFY 事件來重申其對第三方安全產品的承諾,而ESLogger 支援現在在macOS Ventura 中可用的所有80 個NOTIFY 事件。 ESLogger 為研究人員提供了對安全相關事件的急需且方便的可見性,而無需部署完整的ES 用戶端。

不幸的是,eslogger並沒有考慮到企業規模。這將需要一些基礎設施和外部工具,以便將整個檢測結果帶入一個可以監控和挖掘資料的中央資料庫。在這兩種情況下,除非安全團隊積極主動,否則蘋果的XProtectRemediator將會在發現惡意軟體時悄悄地將其刪除,而不會提醒使用者或管理員曾經發生過攻擊。類似地,該工具既不會警告也不會記錄可疑惡意活動,因為它沒有明確地編程工具來檢測。

對企業和蘋果來說,依靠這種補救方式來提高自身安全是一種高風險的策略。在這種情況下,誤報的風險可能會對用戶和企業造成嚴重傷害,所以蘋果很可能在檢測和默默刪除方面設計了非常保守的工具。

對於企業來說,無法接收警報和難以檢查日誌意味著,XProtectRemeditor幾乎不可能發現遺漏的感染,也不可能追蹤其刪除的感染的根本原因,也不太可能進一步調查事件及其對組織的影響。

3.XProtectBehaviorService:隱藏偵測活動

蘋果公司最近增加了一項惡意軟體偵測技術,該技術尚未公開發布,名稱為XProtectBehaviorService。

為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?

目前,該服務只是靜默地記錄違反某些預先編程行為規則的應用程式的詳細信息,這些規則目前在/usr/libexec/syspolicyd中定義。

為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?為什麼蘋果所謂的沉默式安防策略並不能讓使用者覺得安全?

這些規則(內部稱為「堡壘規則」)在位於/var/protected/xprotect/ xpdb的隱藏sqlite資料庫中記錄違規行為。值得稱讚的是,蘋果正在記錄對Slack和Teams等企業應用程式以及各種瀏覽器和聊天應用程式中資料的存取。然而,問題仍然存在,蘋果打算為用戶,特別是管理、IT和安全團隊提供什麼存取權限,以及在進一步操作過程中收集的資訊。例如,這些日誌最近被用於調查APT攻擊,該攻擊感染了四個macOS Ventura系統,XProtect既沒有成功阻止該攻擊,XProtectRemediator也沒有將其刪除。

儘管這些數據現在可以由事件回應人員找到,但收集這些數據並學習如何使用這些數據卻落在了負責安全的人員的肩上。上述範例說明那些完全依賴蘋果提供保護的It團隊,必須主動分析他們的macOS設備,並挖掘蘋果隱藏的日誌和監測數據。

總結

如上所述,蘋果在安全方面的做法與其他作業系統供應商不同,這本身並無好壞之分,重要的是管理員要清楚知道他們的作業系統是如何處理安全事件的。一個好的、安靜的系統不一定代表一個安全可靠的系統。

了解公司終端上發生的事情是保護設備的第一步,在macOS後端發生的與安全相關的事件比面上看到的要多得多。

本文翻譯自:https://www.sentinelone.com/blog/mac-admins-why-apples-silent-approach-to-endpoint-security-should-be-a-wake-up-call/如若轉載,請註明原文地址