サードパーティのソフトウェアの助けなしに、マルウェアmacosがどのようなマルウェアを検出して削除できるのか疑問に思ったことはありませんか? Appleは、Macの組み込みXprotectスイートに新しいマルウェア検出ルールを継続的に追加します。ほとんどのルール名(署名)は難読化されていますが、エンジニアリングが少し逆になっているため、セキュリティ研究者はそれらを共通の業界名にマッピングできます。

のこのエディションで 9to5mac セキュリティバイト、2024年5月に取り組み始めたストーリーを再訪します。AppleはXprotectスイートに新しいモジュールを継続的に追加して最新のマルウェアトレンドと戦うため、このコラムは時間の経過とともに更新され続けると思います。 Macが独自に検出して削除できるマルウェアは次のとおりです。

9to5macセキュリティバイトは、独占的にあなたにもたらされます Mosyle、唯一のApple統合プラットフォーム Appleデバイスを機能し、エンタープライズセーフを作るだけです。管理とセキュリティへの当社のユニークな統合アプローチは、完全に自動化された硬化とコンプライアンス、次世代のEDR、AIを搭載したゼロトラスト、および市場で最も強力でモダンなApple MDMとの排他的な特権管理のための最先端のApple固有のセキュリティソリューションを組み合わせています。その結果、現在45,000を超える組織から信頼されている完全に自動化されたApple Unifiedプラットフォームが、何百万ものAppleデバイスを手頃な価格のコストで機能させることができます。 延長試験を​​リクエストしてください 今日、なぜモシルがアップルと仕事をするために必要なものすべてであるのかを理解してください

について セキュリティバイトセキュリティバイトは、9to5macの毎週のセキュリティ中心の列です。毎週、 アリン・ワイチュリス データのプライバシーに関する洞察を提供し、脆弱性を明らかにし、20億を超えるアクティブなデバイスのAppleの広大なエコシステム内の新たな脅威に光を当てますs。 ✌✌️

Xprotect、Yara Rules、huh?

Xprotectは2009年にMacOS X 10.6 Snow Leopardの一部として導入されました。最初は、インストールファイルでマルウェアが発見された場合、ユーザーを検出および警告するためにリリースされました。ただし、Xprotectは最近大幅に進化しています。 2022年4月の長年のマルウェア除去ツール(MRT)の退職により、MACの脅威の検出と救済を担当するより有能なネイティブアンチマルウェアコンポーネントであるXprotectremediator(XPR)の出現が促されました。

Xprotect Suiteは、Yara Signatureベースの検出を利用してマルウェアを識別します。 子供たち それ自体は、コードまたはメタデータの特定の特性とパターンに基づいてファイル(マルウェアを含む)を識別する広く採用されているオープンソースツールです。 Yaraルールの素晴らしいところは、Appleを含む組織や個人が自分の組織を作成して利用できることです。

MacOS 15 Sequoiaの場合、Xprotectスイートは3つの主要なコンポーネントで構成されています。

  1. Xprotectアプリ アプリが最初にその署名を起動、変更、または更新するたびに、Yaraルールを使用してマルウェアを検出できます。
  2. XprotectRemediator(XPR) より積極的であり、Yaraルールなどで定期的にスキャンすることにより、マルウェアを検出および削除できます。これらは、活動が低い期間中にバックグラウンドで発生し、CPUへの影響は最小限です。
  3. MacOSの最新バージョンには、XprotectBehaviorserviceが含まれます (XBS)、重要なリソースに関連してシステムの動作を監視します。

残念ながら、Appleは主に一般的なマルウェア名を難読化するXprotectの一般的な内部命名スキームを使用しています。これは正当な理由で行われますが、マルウェアXprotectが特定できることを正確に知りたいと思っている人にとっては困難になります。

たとえば、Pirritアドウェアを検出するための署名であるXprotect_macos_pirrit_genなど、いくつかのYaraルールには、より明白な名前が与えられます。ただし、Xprotectでは、Xprotect_Macos_2FC5997や、AppleエンジニアだけがXprotect_SnowDriftのように知っている内部署名など、より一般的なルールを大部分見つけることができます。これは、セキュリティ研究者が好きな場所です フィル・ストークス そして オールデン お入りください。

Sentinel One LabsとのPhil Stokesは、便利なものを管理しています Githubのリポジトリ これは、Appleが使用するこれらの難読化された署名を、ベンダーが使用するより一般的な名前にマッピングし、Virustotalのような公共のマルウェアスキャナーにあります。さらに、Aldenが最近作成しました 重要な進歩 スキャンモジュールのバイナリからYaraルールを抽出することにより、XPRがどのように機能するかを理解します。

MacにXprotectを見つけるにはどうすればよいですか?

Xprotectは、すべてのバージョンのMacOSでデフォルトで有効になります。また、システムレベルで完全にバックグラウンドで実行されるため、介入は必要ありません。 Xprotectの更新も自動的に行われます。ここにある場所があります:

  1. Macintosh HD 行きます ライブラリ> Apple>システム>ライブラリ> CoreServices
  2. ここから、右クリックすることで修復者を見つけることができます Xprotect
  3. 次に、クリックします パッケージの内容を表示します
  4. 拡大する コンテンツ
  5. 開ける macos

注:ユーザーは、既知の脅威を検出するために作られているため、AppleのXprotectスイートに完全に依存してはいけません。より高度なまたは洗練された攻撃は、検出を簡単に回避できます。サードパーティのマルウェア検出および削除ツールの使用を強くお勧めします。

Xprotectremdiator v151の24のスキャンモジュール

どのマルウェアを削除できますか?

Xprotectアプリ自体は脅威のみを検出およびブロックすることができますが、削除のためのXPRのスキャンモジュールに帰着します。現在、XPR(V151)の現在のバージョンの24の救済装置のうち14個を特定して、マルウェアをマシンから遠ざけることができます。

  1. アドロード: 2017年以降、MacOSユーザーをターゲットにしたアドウェアおよびバンドルウェアローダー。アドロードは、最後の最後のXprotectの主要な更新の前に検出を回避できました。
  2. 悪いことに:まだ識別されていません。
  3. ブルートップ: 「Bluetopは、2023年後半にKasperskyがカバーしたTrojan-Proxyキャンペーンのようです。」 オールデンは言います
  4. Bundlore:2024年12月に追加された新しいモジュール。このモジュールの名前は難解ではありません。 Bundloreは、MacOSシステムを標的とする一般的なアドウェアドロッパーのファミリーです。多くのサードパーティのマルウェアスキャナーは、Bundloreを検出してリアルタイムで停止できます。それは大きな脅威ではありません。
  5. CardboardCutout: このモジュールは、他のモジュールとは少し異なります。特定のタイプのマルウェアをスキャンするのではなく、段ボールカットアウトは、既知の署名を備えたマルウェアの「カットアウト」を作成し、システムで実行する機会を得る前に停止します。
  6. coldsnap: 「ColdSnapは、MacOSバージョンのSimpleTeaマルウェアを探している可能性があります。これは、3CX違反とLinuxとWindowsの両方のバリアントの両方と特性を共有することにも関連していました。」 SimpleTea(LinuxのSimpleXtea)は、DPRKから発生したと考えられているリモートアクセストロイの木馬(ラット)です。
  7. Crapyrator: Crapyratorはmacos.bkdr.activatorとして特定されています。これは、2024年2月に「Macosユーザーに大規模に感染する」と発表されたマルウェアキャンペーンです。MacOSBotNetを作成したり、他のマルウェアを大規模に配信する目的でも、大規模に感染します」とPhil Stokesは述べています。
  8. ダブローバー: Xcssetとしても知られる厄介で多目的なトロイの木馬ドロッパー。
  9. eicar:a 無害なファイル これは、有害にならずにウイルス対策スキャナーをトリガーするように意図的に設計されています。
  10. フロッピーフッパー:まだ識別されていません。
  11. ジーニエオ; 非常に一般的に文書化されている潜在的に望まれないプログラム(PUP)。それが独自のウィキペディアページさえ持っているほどです。
  12. Greenacre: まだ識別されていません。
  13. KeySteal: KeyStealは、2021年に最初に観察され、2023年2月にXprotectに追加されたMacos Infostealerです。
  14. MRTV3: これは、前身のマルウェア除去ツール(MRT)からXprotectに祖父になったマルウェア検出および除去コンポーネントのコレクションです。
  15. PIRRIIT: これも何らかの理由で偽装されていません。 Pirritは、2016年に最初に表面化したMacOSアドウェアです。ポップアップ広告をWebページに挿入し、プライベートユーザーブラウザーデータを収集し、検索ランキングを操作してユーザーを悪意のあるページにリダイレクトすることも知られています。
  16. タンク:「このルールは、3CXインシデントで見つかった悪意のある実行可能ファイルへのパスが含まれているため、より明白なものの1つです」とAlden氏は言います。 3CXは、ラザログループに起因するサプライチェーン攻撃でした。
  17. Redpine: 自信が低いと、AldenはRedpineが三角操作操作からの三角形に対応している可能性が高いと述べています。これは、史上最も洗練されたiPhone攻撃の1つです。
  18. ローチフライト:ゴキブリを飛行することとは関係ありませんが、残念ながら研究者によってまだ特定されていません。
  19. シープワップ:まだ識別されていません。
  20. showbeagle: まだ識別されていません。
  21. SnowDrift: として識別されます CloudMensis MacOSスパイウェア。
  22. ToyDrop: まだ識別されていません。
  23. 見つけるために:Pirritと同様に、 見つけるために 別のクロスプラットフォームブラウザーハイジャッカーです。検索結果をリダイレクトし、閲覧履歴を追跡し、独自の広告を検索に注入することが知られています。
  24. ウォーターネット: まだ識別されていません。

読んでくれてありがとう!まだ識別されていないモジュールのいくつかについてのヒントがある場合は、コメントに残すか、メールarin@9to5mac.comにメールを送ってください。

fOllow: Twitter/x LinkedInスレッド

FTC:収入獲得自動車アフィリエイトリンクを使用しています。 もっと。



Source link

関連記事同じ著者から