Jamf Blog
June 4, 2021 Von Mignon Wagner

Apples integriertes Malware Removal Tool (MRT) benutzen

Virenschutz (Anti-Virus; AV) ist eine wichtige Anforderung für die meisten Geräte in einer Organisation, um eine grundlegende Sicherheit zu bieten. Apple bietet einen grundlegenden Virenschutz in macOS mit XProtect, Gatekeeper und MRT.

Während die macOS Plattform ihre Wurzeln in der Unix Welt hat, ist macOS ein einzigartiges Betriebssystem (OS) mit spezifischen Funktionen für Dateien, Prozesse und Netzwerke. Daher ähneln Angriffe auf macOS selten Angriffen auf Windows oder andere Plattformen. Die meisten Sicherheitsanbieter konzentrieren sich jedoch darauf, zunächst die Erkennungs-, Vorbeugungs- und Abhilfemaßnahmen für Windows zu verbessern. Daher hat Apple sein eigenes Sicherheits-Framework gebaut, welches under anderem mit dem MRT Tool gängige Malware blockieren kann.

macOS bietet einen integrierten Vulnerability Scanner namens Malware Removal Tool – oder kurz MRT. Dieser ist im MRT.app-Bundle unter /System/Library/CoreServices/MRT.app/Contents/MacOS/ installiert und schützt vor Bedrohungen, die für den Mac im Umlauf sind. Um das Malware Removal Tool einzusetzen, führen Sie die Binärdatei einfach mit einem -a Flag für Agent und anschließend mit einem -r Flag zusammen mit dem Pfad aus, für den es durchgeführt werden soll.

Angenommen, Sie führen beispielsweise einen launchctl Befehl aus, um LaunchDaemons und LaunchAgents aufzulisten, die derzeit laufen:

 launchctl list

Wenn Sie eine verdächtige Datei finden, die etwa mit com.abc beginnt, können Sie die mögliche Gefahr mit folgendem Befehl scannen:

 sudo /System/Library/CoreServices/MRT.app/Contents/MacOS/mrt -a -r ~/Library/LaunchAgents/com.abc.123.c1e71c3d22039f57527c52d467e06612af4fdc9A.plist

Im nächsten Schritt wird die von Ihnen aufgespürte Bedrohung auf Übereinstimmungen mit einem bekannten Hash von MRT oder von /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara geprüft. Sofern die Datei erkannt wird, wird sie gelöscht.

Ein sauberer Output würde wie folgt ausschauen:

 2018-09-24 21:19:32.036 mrt[48924:4256323] Running as agent

2018-09-24 21:19:32.136 mrt[48924:4256323] Agent finished.

2018-09-24 21:19:32.136 mrt[48924:4256323] Finished MRT run


Malware ist meist ein Zahlenspiel. Sie müssen nur genügend Leute finden, die auf Phishing-E-Mails reinfallen: sei es ein Klick, um ihren iTunes Account zu kontrollieren, oder die Installation einer Erweiterung für Safari. Sobald auf die Phishing-E-Mail reagiert wurde, geht ein Teufelskreis los. Da Benutzer jedoch akzeptieren müssen, was durch Gatekeeper hereinkommt, schauen wir uns an, was genau erlaubt ist.


Mit folgendem Befehl erhalten Sie eine Liste mit erlaubten Hashes:

 spctl --list

Wenn Sie eine App via spctl erlauben möchten, finden Sie den Prozess hierfür in einer Liste gespeichert in

 sudo sqlite3 /var/db/SystemPolicy

Im Anschluss führen Sie .schema aus, um die Struktur von Tabellen, etc. anzuschauen. Hierzu zählen Feature, Berechtigung, Sequenz und Ojekt, die Hashes enthalten.

Auf der anderen Seite können Sie nach dem com.apple.quarantine Attribut suchen, das auf com.apple.quarantine festgelegt ist:

 xattr -d -r com.apple.quarantine ~/Downloads

Und um die in einer App verwendete Signatur anzuzeigen, verwenden Sie codesign:

 codesign -dv MyAwesome.app

Um Packages zu signieren:

 productbuild --distribution mycoolpackage.dist --sign MYSUPERSECRETIDENTITY mycoolpackage.pkg

Um eine dmg-Datei zu signieren:

 codesign -s MYSUPERSECRETIDENTITY mycooldmg.dmg

Bitte beachten Sie, dass codesign in unseren Tests verwendet wird, um Signaturen zu verwalten. Hierbei prüft spctl nur Dinge mit gültiger Entwickler-ID, oder Dinge, die aus dem App Store heruntergeladen wurden. Keine hiervon ermöglicht die Validierung einer Datei, die auf anderem Wege auf den Computer gelangt ist (z. B. über File Sharing).

Ein weiteres verbreitetes Phänomen ist, dass Gatekeeper von Benutzern ausgeschaltet wird, indem LSQuarantine direct deaktiviert wird:

 defaults write com.apple.LaunchServices LSQuarantine -bool NO

Und/oder via spctl:

 spctl --master-disable

Ebenso läuft MRT derzeit sehr ressourcenintensiv. Indem Sie die binäre Datei aus dem MRT.app Verzeichnis entfernen, wird sie vorerst deaktiviert, sofern Sie zu einer der betroffenen Personen zählen.

Das MRT Tool, obwohl es speziell für Mac Geräte gebaut wurde, entdeckt allerdings nicht jede Art von Apple Malware.

Jamf Protect ist eine Endgerätesicherheitslösung, die speziell auf den Mac ausgerichtet ist. Einhaltung der Endgeräte-Compliance für den Mac, Virenschutz durch die Verhinderung von macOS Malware, Kontrolle von Mac Anwendungen in der Organisation, die Erkennung und Beseitigung von spezifisch auf den Mac ausgerichteten Bedrohungen unter minimaler Beeinträchtigung des Geräts und der Endbenutzererfahrung. In Verbindung mit Jamf Pro und/oder Jamf Connect ermöglicht Jamf Protect umfangreiche Möglichkeiten zur Automatisierung, Untersuchung und Problembehebung, um sowohl kleine als auch große Risiken für Endgeräte zu reduzieren.

Blog durchsuchen
nach Kategorie:
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.