MacOS比Windows更安全吗?安全专家说实话

发布者:上海IT外包来源:http://www.lanmon.net点击数:1825

短语“PHP是世界上最好的编程语言”可以成功激发程序员。同样,口号“Windows系统比Mac系统更安全(反之亦然)”也可能使IT安全人员争论不休。
在Windows的前10年,该产品很容易稳定历史上最好的操作系统(OS)。成功攻击的数量使公众对Windows安全性失去了信任。相比之下,许多水果粉都认为基于Apple的MacOS封闭系统环境应该比Windows系列更安全。
经过数十年的用户竞争,与Windows和Mac相关的安全主题似乎已经演变为技术信念。随着Apple设备的大量出货,MacOS的安全神话逐渐被打破。
那么,MacOS仍然像我们想象的那样安全吗?它今天面临哪些安全威胁?在6月11日举行的TenSec 2019年峰会上,腾讯mac安全专家王超飞分享了当前研究的成果。
MacOS安全吗?
截至2019年1季度,Mac终端的市场份额为6.82%,而Windows则高达93.2%。比较两个数据,很多人会认为Mac终端的市场份额相对较小,但实际情况并非如此。
“在一些行业公司,如互联网公司和设计公司,Mac的比例远高于此,而且比例不断上升。”
王超飞表示,腾讯Mac设备占据了所有型号的25%,其他行业的公司也存在同样的情况。有时,看似小众的Mac产品的安全性通常对业务用户至关重要。
Mac系统本身的安全性如何?自推出以来,MacOS已经引入了许多安全机制。主流版本10.14主要有以下四种安全机制:
1.网守——在Internet下载应用程序上执行签名验证。
2,Xprotect——应用程序的静态特征检测,包括字符串,哈希,推送,规则匹配等,可以理解为小软杀的MacOS集成。
3,SIP——又称Rootless,主要是保护系统运行进程,系统密钥文件和内核扩展加载。4,Sandbox——限制了应用程序可以访问的软件资源,硬件资源和网络资源。
上述四种安全机制可以确保应用程序从下载到终端的安全性。
但是,这并不能保证MacOS的100%安全性。自从MacOS发布以来,这四种安全机制经历了许多漏洞并支持黑客攻击PAAS或DOS攻击。
据统计,从2016年到2017年,Mac平台的恶意程序增加了270%。仅在2018年,增长率就达到了165%。截至目前,MacOS的恶意程序已达到100,000个。其中,有23个具有MacOS入侵能力的APT组织和62个特洛伊木马家族。
“可以说,MacOS上的高级持续威胁一直存在。”
MacOS攻击演示
在模拟攻击的情况下,王超飞使用远程自定义URL方案攻击方法从黑客的角度分享对MacOS终端的整个攻击。
可以将自定义URL方案与Windows中与不同文件关联的不同默认文件进行比较。例如,如果您在浏览器中输入http://baidu.com,浏览器将解析域名。如果Mac上的应用程序声称它支持hXXp的URL方案格式,那么如果在浏览器中输入hXXps.baidu.com,系统将自动关联应用程序以解析URL方案。
顾名思义,远程自定义URL方案是一种远程使用它的方法。
攻击的第一步,通常是黑客向目标终端发送包含恶意链接的网络钓鱼邮件。在收到钓鱼邮件后,终端将引导用户打开Safari浏览器中包含恶意链接的电子邮件,并自动访问黑客控制的恶意站点。
此时,Safari浏览器将自动下载存储在恶意站点中的恶意压缩包并自动解压缩,从而导致压缩包中的恶意应用程序。
同时,系统将自动注册应用程序支持的URL方案,从而将URL方案与其关联,并自动引导Safari访问已注册的恶意URL方案到恶意应用程序。
攻击过程分为三个关键点:
1. Safari浏览器——这是大多数Mac终端的默认浏览器。它可以选择在下载后打开“安全文件”。启用此选项后,恶意程序包将被视为安全且已解压缩。降落。2,Mac上的恶意App——应用程序大多是dmg格式。在其文件结构中,它包含二进制文件,资源,甚至应用于的各种脚本。
使用pdc文件(类似于配置文件),恶意应用程序可以声明文件中支持的URL方案。
3.恶意站点——当用户收到包含恶意链接的消息时,将打开该链接。它涉及普通的Google搜索页面,该页面还指导Safari自动下载恶意档案,注册恶意URL方案并显示恶意恶意软件运行请求。
对于最终用户,整个攻击过程都是非常隐蔽的。在此期间,用户只会收到伪装成系统提示的恶意链接,一旦用户点击它,就会启动恶意程序执行。
MacOS检测和监控
此外,还有许多针对MacOS的攻击,每个攻击都面临着Mac终端的严重安全威胁。
那么你如何应对这些安全威胁呢?
黑客的完整入侵路径可分为初始记录,执行,授权,持久性,收集和证据收集。每个阶段都会有一些典型的攻击方法。攻击方法和检测方法组织如下:
1.使用假应用欺骗用户下载并执行Mac。——您可以通过检查名称是否与名称匹配来确认应用程序的真实性。
2.使用隐藏在App资源目录中的脚本执行恶意程序。——通过监视进程,恶意脚本通常隐藏在需要获得执行权限的启发式目录中,这可被视为异常点。
3,使用Microsoft宏执行攻击行为—— Microsoft宏执行攻击分为三种方法:从系统模块导入,调用vb函数MacScript()并调用vba函数AppleScriptTask(),可以通过调用其父级来监视和儿童过程;
4,恶意程序持久性——基于Xprotect检测程序路径,哈希,签名等,强化对隐藏文件的关注,如/tmp /;
5,恶意程序权限提升——直接依靠0day漏洞升级的情况很少见,解除权利有两种常见方法:一种是通过App的恶意升级程序来诱骗用户输入密码获取权限;第二种是直接通过App Pretend成为正常的应用程序。
当程序请求root身份验证时,它最终将对应一个进程。通过判断过程的路径及其签名来判断。对于对系统安全子进程的调用,可以通过监视对应于子进程的命令行是否包含被认为是恶意的脚本或程序来确认。
6.收集和窃取Mac终端的信息——常用方法包括屏幕捕获,键盘记录,敏感信息窃取和传播。旨在检测屏幕捕获频率,为不同的窃取场景执行和安装键盘监控程序。王超飞表示,基本的EDR通常用于流程网络,流程关系,流程命令行和文件操作监控。这四种数据源可以覆盖ATT和CK中的120种入侵攻击,监控概率接近80%。
“基于基本监控,如果你想建立一个全面的EDR系统,你需要收集更多的终端数据。”
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部