[[268260]]

一句“PHP是世界上最好的編程語言”可以成功惹毛一票程序員。同樣，隨口一句“Windows系統(tǒng)比Mac系統(tǒng)更安全(或反之)”也能讓IT安全人員吵個不可開交。

Windows誕生的頭10年該產(chǎn)品輕易坐穩(wěn)史上最好攻擊操作系統(tǒng)(OS)的寶座，成功攻擊的數(shù)量更讓公眾對Windows的安全性失去信任。相比之下，很多果粉則覺得MacOS基于蘋果的封閉系統(tǒng)環(huán)境理應(yīng)比Windows系列更加安全。

在長達(dá)幾十年的用戶爭奪戰(zhàn)后，相關(guān)Windows和Mac的安全話題似乎已經(jīng)演變成了技術(shù)信仰問題。而隨著蘋果設(shè)備的大批量出貨，MacOS的安全神話也正被逐漸打破。

那么，如今的MacOS還像我們想象的那樣安全嗎?其如今又面臨著哪些安全威脅呢?在6月11日舉辦的TenSec 2019峰會上，騰訊mac安全專家王朝飛結(jié)合現(xiàn)階段研究成果進(jìn)行了分享。

MacOS安全嗎?

截止2019Q1，Mac終端的市場占有率是6.82%，Windows卻高達(dá)93.2%。兩個數(shù)據(jù)作比對，不少人會覺得Mac終端的市場份額還是相對小眾的，但實(shí)際情況卻并非如此。

“在某些行業(yè)公司里，如互聯(lián)網(wǎng)公司、設(shè)計(jì)公司Mac所占比例遠(yuǎn)高于此，且比例呈現(xiàn)不斷攀升的趨勢。”

王朝飛稱，在騰訊Mac設(shè)備已經(jīng)占據(jù)全部在用機(jī)型的25%，同樣的情況也存在于其他行業(yè)的公司。有時候，看似小眾的Mac產(chǎn)品安全性往往對于企業(yè)用戶來說至關(guān)重要。

Mac系統(tǒng)本身的安全性做得如何呢?自面世至今，MacOS引入了很多的安全機(jī)制，其中主流版本10.14主要有以下四大安全機(jī)制：

1、Gatekeeper——對互聯(lián)網(wǎng)下載應(yīng)用程序進(jìn)行簽名校驗(yàn)。

2、Xprotect——對應(yīng)用程序進(jìn)行靜態(tài)特征檢測，包括字符串，哈希，壓入，規(guī)則匹配等，可理解成是MacOS自己集成的一個小的殺軟。

3、SIP——又叫Rootless，主要是對系統(tǒng)運(yùn)行進(jìn)程、系統(tǒng)關(guān)鍵文件以及內(nèi)核擴(kuò)展加載進(jìn)行保護(hù)。

4、Sandbox——對應(yīng)用程序所能訪問的軟件資源、硬件資源和網(wǎng)絡(luò)資源等做限制。

上述四大安全機(jī)制可以保證應(yīng)用程序從下載落地到終端執(zhí)行的安全。

然而，這并不能100%保證MacOS的安全。自MacOS面世至今，這四大安全機(jī)制已經(jīng)出現(xiàn)過無數(shù)漏洞并支持黑客進(jìn)行PAAS或者DOS攻擊。

據(jù)統(tǒng)計(jì)，從2016到2017年，針對Mac平臺的惡意程序增長了270%。僅在2018年一年，增長速度達(dá)到165%。截至目前，MacOS的惡意程序量級已經(jīng)達(dá)到10萬級。其中，具有針對MacOS入侵能力的APT組織23個，木馬家族62個。

“可以說，MacOS上的高級持續(xù)性威脅其實(shí)是一直存在的。”

MacOS攻擊演示

在模擬攻擊案例中，王朝飛采用Remote Custom URL Scheme的攻擊手法，從黑客角度分享了對MacOS終端展開攻擊的全過程。

Custom URL Scheme可以被類比成Windows中不同的文件拓展對應(yīng)不同的默認(rèn)關(guān)聯(lián)程序。舉個例子，假如在瀏覽器中輸入http：//baidu.com，那么瀏覽器就會去解析這個域名。 如果一個Mac上的App聲稱它支持hXXp這種URL scheme格式，那么如果在瀏覽器中輸入hXXps.baidu.com那么系統(tǒng)就會自動去關(guān)聯(lián)這個App來解析URL scheme。

顧名思義，Remote Custom URL Scheme就是一種遠(yuǎn)程利用的方式。

攻擊的第一步，通常黑客會向目標(biāo)終端發(fā)送一份包含惡意鏈接的釣魚郵件。終端收到釣魚郵件之后，將引導(dǎo)用戶用Safari瀏覽器打開包含惡意鏈接的郵件，并自動訪問到黑客所控制的惡意站點(diǎn)。

此時，Safari瀏覽器會自動下載惡意站點(diǎn)中所存儲的惡意壓縮包并自動解壓，從而導(dǎo)致壓縮包里面的惡意App落地。

同時，系統(tǒng)會自動將App所支持的URL scheme進(jìn)行注冊，以此將URL scheme與其關(guān)聯(lián)起來并自動引導(dǎo)Safari訪問注冊過的惡意URL scheme關(guān)聯(lián)到惡意App。

其攻擊過程分為三個關(guān)鍵點(diǎn)：

1、Safari瀏覽器——這是絕大多數(shù)Mac終端默認(rèn)的瀏覽器，其具備“下載后打開‘安全的’文件”設(shè)置選項(xiàng)，一旦該選項(xiàng)開啟瀏覽器則認(rèn)為惡意壓縮包是安全的從而導(dǎo)致解壓落地。

2、惡意App——Mac上的App多為dmg格式。在其文件結(jié)構(gòu)中，包含了應(yīng)用到的二進(jìn)制文件、資源，甚至各種腳本。

利用其中的pdc文件(類似一種配置文件)，惡意App可以在文件中聲明所要支持的URL scheme。

3、惡意站點(diǎn)——當(dāng)用戶收到包含惡意鏈接的郵件后，打開鏈接。映入眼簾的是正常的Google搜索頁面，同時引導(dǎo)Safari自動下載惡意壓縮包、注冊到惡意URL scheme并顯示偽裝后的惡意App運(yùn)行請求。

對于終端用戶來說，整個攻擊過程顯得十分隱蔽。期間，用戶只會收到一個被偽裝成系統(tǒng)提示的惡意鏈接，一旦用戶點(diǎn)擊執(zhí)行則會啟動惡意程序執(zhí)行。

MacOS檢測與監(jiān)控

除此之外，還有很多針對MacOS的攻擊方式，每種對于Mac終端來說都面臨著嚴(yán)峻的安全威脅。

那么，如何應(yīng)對這樣的安全威脅呢?

一個黑客完整的入侵途徑中，可將其劃分為初始記錄、執(zhí)行、提權(quán)、持久化、搜集取證等階段，每個階段都會有一些典型的攻擊手法。其攻擊手法及檢測辦法整理如下：

1、針對Mac使用虛假App欺騙用戶下載執(zhí)行——可以通過App簽名校驗(yàn)與名稱是否相符來確認(rèn)App的真實(shí)性;

2、利用隱藏在App資源目錄中的腳本執(zhí)行惡意程序——通過監(jiān)控進(jìn)程，惡意腳本通常會被隱藏在需要被賦予執(zhí)行權(quán)限的試探目錄中，可以認(rèn)為這是一個異常點(diǎn)。

3、利用微軟宏執(zhí)行的攻擊行為——微軟宏執(zhí)行的攻擊分為從系統(tǒng)模塊導(dǎo)入、調(diào)用vb函數(shù)MacScript()和調(diào)用vba函數(shù)AppleScriptTask()三種方式，可通過調(diào)用其父子進(jìn)程進(jìn)行監(jiān)測;

4、惡意程序持久化——基于Xprotect對程序路徑、哈希、簽名等進(jìn)行檢測，對類似/tmp/的隱藏文件加強(qiáng)關(guān)注;

5、惡意程序權(quán)限提升——直接依靠0day漏洞來提權(quán)的情況很少見，常見的提權(quán)方式有兩種：一個是通過App的惡意升級程序來欺騙用戶輸入密碼獲得特權(quán);其次是直接通過App冒充正常的應(yīng)用。

當(dāng)一個程序去請求Root認(rèn)證的時候，最終會對應(yīng)到一個進(jìn)程。通過判斷進(jìn)程所在路徑及其簽名來判斷。而對于調(diào)用到系統(tǒng)安全子進(jìn)程的，可以通過監(jiān)控該子進(jìn)程所對應(yīng)的命令行中是否包含認(rèn)為惡意的腳本或者程序來加以確認(rèn)。

6、針對Mac終端收集、竊取信息——常見的手段包含截屏、鍵盤記錄、敏感信息竊取和擴(kuò)散四種，針對不同竊取場景的使用特性設(shè)計(jì)檢測截屏頻率、執(zhí)行、安裝鍵盤監(jiān)控程序等。

王朝飛稱，構(gòu)建基礎(chǔ)的EDR通常會用到進(jìn)程網(wǎng)絡(luò)、進(jìn)程關(guān)系、進(jìn)程命令行和文件操作監(jiān)控四類，這四類數(shù)據(jù)源可以覆蓋ATT&CK中120種入侵攻擊手段，監(jiān)控概率接近80%。

“在基礎(chǔ)監(jiān)控的基礎(chǔ)上，若要構(gòu)建全面的EDR系統(tǒng)，則需收集更多的終端數(shù)據(jù)。”