Шкідливе програмне забезпечення для macOS 2023 | Глибоке занурення в нові тенденції та технології, що розвиваються
На початку осені 2023 Apple оновила свій вбудований інструмент захисту XProtect до версії 2173 з новими правилами для Atomic Stealer та Adload. Останнім часом засоби захисту для комп’ютерів Mac від Apple розвиваються, приділяючи більше уваги усуненню старих недоліків і деяким прототипам нових правил поведінки з елементами AI, які, схоже, все ще перебувають у тестовому режимі.
Однак у 2023 році з’явилися нові підходи до компрометації комп’ютерів Mac, які продовжують наражати користувачів macOS на небезпеку, якщо організації не вживають додаткових заходів для захисту від них.
У цій статті ми розглянемо деякі з основних шкідливих програм для macOS, виявлених останнім часом, і детально розповімо про те, як зловмисники адаптуються та еволюціонують, щоб забезпечити успішну компрометацію настільної платформи Apple. Також застерігаємо що стаття може бути складною для розуміння звичайному користувачу macOS, і більше націлена на ентузіастів з кібербезпеки та системних адміністраторів.
Сталість більше не є пріоритетом для зловмисників для Mac
Мабуть, одна з найбільш значущих змін, яку ми побачили в 2023 році, – це безліч сімейств шкідливого програмного забезпечення для macOS, які відмовляються від принципу постійності. Тобто шкідливому коду не потрібно постійно залишатись на інфікованому пристрої. Це особливо характерно для інфокрадіїв, які прагнуть досягти всіх своїх цілей за одну дію – викрасти паролі адміністратора користувача, дані браузера, сесійні файли cookie і ключі, а потім перенести їх на віддалений сервер.
З такою здобиччю зловмисникам не потрібно бути на пристрої жертви, оскільки тепер вони мають доступ до будь-яких хмарних або SaaS-акаунтів, для яких користувач зберігав облікові дані та файли cookie на своєму Mac.
Інші новітні сімейства шкідливих програм відмовляються від традиційних механізмів персистенції на користь троянського програмного забезпечення, яке, як вони очікують, користувач буде регулярно запускати, фактично роблячи власну поведінку користувача засобом поширення шкідливого програмного забезпечення. Хорошим прикладом цього, як ми обговоримо нижче, була компрометація 3CX у березні 2023 року.
Без необхідності планувати виконання шкідливого програмного забезпечення через системні служби, виявлення стає проблематичним для певних видів механізмів безпеки, а нещодавнє запровадження компанією Apple push-сповіщень для попередження про заплановані фонові елементи стає неактуальним.
Організації скомпрометовані через цілеспрямовану соціальну інженерію
Зловмисники почали використовувати складніші методи соціальної інженерії, щоб скомпрометувати користувачів комп’ютерів Mac. Хоча більшість поширених шкідливих програм поширюється через такі канали, як торрент-сайти та сайти для завантаження стороннього програмного забезпечення, зловмисники, які прагнуть скомпрометувати бізнес, розробляють вузькоспрямовані кампанії.
На початку 2023 року ми бачили, як шкідливе програмне забезпечення RustBucket атакувало організації за допомогою спеціально розроблених додатків. Зловмисники переконували жертв атаки запустити шкідливе ПЗ в рамках ретельно продуманої схеми соціальної інженерії. Зловмисники залучали співробітників, обіцяючи ділову угоду, і надавали їм “конфіденційні” PDF-документи, які не можна було прочитати за допомогою звичайних програм для перегляду PDF-файлів.
Для “безпечного” перегляду документів жертвам пропонували завантажити “власний” додаток під назвою “Internal PDF Viewer”. Переконавши, що це програмне забезпечення необхідне для збереження таємниці угоди, користувачів переконували обійти вбудовані механізми безпеки Apple. Шкідливий PDF-переглядач відображав документ, який очікувала побачити жертва, але у фоновому режимі завантажував і виконував шкідливе програмне забезпечення з комп’ютерної мережі зловмисника.
Цього року також були помічені менш складні, але все ще цілеспрямовані шкідливі програми, націлені на малий бізнес та позаштатних підрядників. Кампанія macOS MetaStealer націлювала жертв на приманки соціальної інженерії на кшталт “Технічне завдання для реклами” та “Короткий_огляд_презентації-завдання”. Ці файли насправді були образами дисків, що містили шкідливе програмне забезпечення Infostealer, замасковане під PDF-документи.
Як і у випадку з RustBucket, метою було заохотити користувачів обійти механізми безпеки Apple macOS, що, на жаль, означає не більше, ніж переконати їх клацнути файл правою кнопкою миші і вибрати “відкрити” замість того, щоб двічі клацнути його.
Зростання використання загальнодоступних “наступальних” інструментів безпеки
Довгий час точилися суперечки навколо наступальних інструментів безпеки у світі Windows, зокрема Cobalt Strike який був зламаний. Витік інформації про нього стався настільки широко, що тепер він є основною опорою зловмисників усіх мастей. Така ж тенденція починає спостерігатися і в світі шкідливого програмного забезпечення для macOS.
Такі проекти, як Geacon, використовують можливості Cobalt Strike в програмному забезпеченні на основі Go. Вони були помічені у підроблених версіях програм корпоративного рівня, таких як SecureLink, що розсилає маячки C2 в Китаї та використовує резюме кандидатів як приманку.
Відомий інструмент з відкритим вихідним кодом Mythic та його різноманітні додатки, зокрема Poseidon, також були помічені в нещодавніх кампаніях зі створення шкідливого програмного забезпечення для macOS.
Poseidon і Mythic функціонують як імплантат і набір для адміністрування С2 так само, як і Cobalt Strike. Завдяки вбудованим функціям маскування та зашифрованим комунікаціям, Poseidon надає зловмисникам потужний інструментарій.
Фахівці з “наступальної” безпеки можуть стверджувати, що відкритий характер інструменту дає можливість постачальникам засобів захисту розробляти засоби виявлення для нього. Це дійсно так, і більшість сторонніх програм безпеки повинні мати можливість виявляти Poseidon або статично, або поведінково. Однак, схоже, що компанія Apple поки що не скористалася цією пропозицією; її служба блокування шкідливого програмного забезпечення XProtect досі не містить сигнатури для виявлення ураження системи від роботи Poseidon.
Для антивірусів потрібна додаткова безпека. Через природу таких інструментів буває складно визначити, чи є вони просто погано написаним кодом звичайної програми, чи справжніми кампаніями зловмисного програмного забезпечення, але в будь-якому випадку виявлення та захист є необхідними.
Життя поза межами садочка | Вбудовані інструменти, що використовуються для зловмисних дій
Методи LOOBins або “життя поза землею” мають довгу історію використання у шкідливому програмному забезпеченні та кібератаках, спрямованих на інші платформи. У macOS зростає визнання таких методів, які іноді описують як “життя за межами саду”. Ресурси, які допомагають їх розпізнавати, стають все більш важливими.
У 2023 році, мабуть, найбільш часто використовуваними вбудованими інструментами є інструмент system_profiler для збору даних про локальну інсталяцію, sw_vers для збору системної версії та збірки ОС, а також curl як для завантаження, так і для вилучення даних. Раніше SentinelLabs задокументувала 20 найпоширеніших LOOBins для macOS.
Одне з найпоширеніших сімейств шкідливого програмного забезпечення, яке ми спостерігали протягом 2023 року і протягом останніх двох років, Adload використовує комбінацію LOLBins, таких як chmod, xattr і ioreg, для виконання своїх завдань.
Такі інструменти створюють труднощі для розробників, оскільки вони ускладнюють відокремлення зловмисної поведінки від легітимної, і саме тому зловмисники полюбляють використовувати їх для досягнення своїх цілей, де це можливо. Звичайно, контекст тут – це все. На приклад саме контекст визначає чи звичайна команда chmod створює небезпеку вашим даним чи це просто рутинний процес зміни файлу під час роботи програми.Видимість ланцюжків виконання та дерев процесів може допомогти мисливцям за загрозами зрозуміти, чи зловживає конкретна програма чи процес такими інструментами, в той час як просунуті інструменти EDR можуть автоматизувати виявлення шкідливих процесів, які включають використання LOLBins.
Зловживання програмним забезпеченням з відкритим кодом для початкової компрометації
У липні 2023 року кілька постачальників повідомили про шкідливе програмне забезпечення під назвою JokerSpy, хоча його авторство залишається невизначеним. JokerSpy містив кілька компонентів, зокрема два бекдори на мові python, інструмент червоної команди SwiftBelt та Mach-O на основі Swift, який намагався замаскуватися під власну службу перевірки на шкідливе програмне забезпечення XProtect від Apple.
Аналіз цих компонентів свідчить про те, що деякі атаки починали зараження через троянський генератор QR-кодів QRLog. Шкідливе програмне забезпечення ховається всередині справжнього генератора QR-кодів, написаного на Java, за допомогою шкідливого файлу QRCodeWriter.java, вбудованого в легітимний проект. Цей файл спочатку визначає операційну систему хоста, потім завантажує відповідне додаткове навантаження, яке відкриває зворотну оболонку, що дозволяє зловмиснику отримати доступ до пристрою жертви.
Хоча незрозуміло, як зловмисники доставляли троянське програмне забезпечення до цілей, JokerSpy було виявлено в кількох корпоративних кібератаках, в тому числі на велику криптовалютну біржу.
Забезпечення ретельної перевірки програмного забезпечення з відкритим вихідним кодом на відповідність відомій специфікації та виправлення будь-яких відомих вразливостей тепер є частиною рекомендацій CISA для всіх федеральних агентств, і приватні організації слідують цьому прикладу. ПЗ з відкритим вихідним кодом створює величезну сферу для атак на всіх платформах, включаючи macOS, і зловмисники продовжуватимуть шукати способи зловживати ним, щоб скомпрометувати потрібні їм об’єкти.
Захист системи від втручання за допомогою багатоступеневого, модульного шкідливого програмного забезпечення
Одна з найскладніших ланцюгових та багатоступеневих атак цього року – кампанія Smooth Operator. Атака скомпрометувала компанії-провайдери шляхом зловмисного втручання в клієнтське програмне забезпечення 3CX для маршрутизації дзвінків 3CXDesktopApp, досі залишається загадкою.
У березні 2023 року було виявлено різні початкові та проміжні етапи роботи шкідливого програмного забезпечення на стороні macOS в ланцюжку початкового зараження. Зловмисники були обережними та не робили занадто підозрілих дій щоб пропустити кілька перших етапів, під час яких збирали інформацію про середовище жертви. Але як робився завершальний етап – ми можемо запідозрити, що це бекдор або зворотна оболонка – ще не виявлений.
Відомі етапи шкідливого програмного забезпечення були створені для прихованої роботи. Вони розраховували на те, що користувачі запускали троянізовану програму на постійній основі. Шкідливий код збирав лише обмежену кількість даних про обліковий запис 3CX, а потім самостійно видалялися після відправки цієї інформації зловмиснику. Відомі версії цієї програми не містять жодних можливостей бекдору і збирають лише дані, які не здаються очевидно аномальними для 3CX.
Очевидно, що зловмисники доклали чимало зусиль для того, щоб ресурси, які вони вклали у фінальну стадію шкідливого програмного забезпечення, не можна було легко виявити. Для фахівців з кібербезпеки це викликає занепокоєння, оскільки однією з причин такої обережності є захист цінних даних атаки нульового дня для зараження системи.
Висновок
Незважаючи на те, що Apple продовжує працювати над вдосконаленням власних спроб виявлення шкідливого програмного забезпечення, націленого на платформу macOS, оновлення вбудованих захисних правил все ще значно відстають від результатів виявлення, які надаються сторонніми рішеннями.
Тому ми наполегливо рекомендуємо підприємствам доповнити захист, пропонований Apple, рішенням для захисту, яке використовує кілька комплексних механізмів виявлення, щоб зупинити як звичайне шкідливе програмне забезпечення, так і сучасні загрози.
Ця стаття є вільним перекладом статті Філа Стокса (Phil Stokes), фахівця Sentinel. З оригіналом можна ознайомитись за посиланням. Якщо у вас є питання стосовно комплексного захисту вашого парку Mac – заповніть форму нижче, ми залюбки поділимося нашими напрацюваннями.