Während die macOS Plattform ihre Wurzeln in der Unix Welt hat, ist macOS ein einzigartiges Betriebssystem (OS) mit spezifischen Funktionen für Dateien, Prozesse und Netzwerke. Daher ähneln Angriffe auf macOS selten Angriffen auf Windows oder andere Plattformen. Die meisten Sicherheitsanbieter konzentrieren sich jedoch darauf, zunächst die Erkennungs-, Vorbeugungs- und Abhilfemaßnahmen für Windows zu verbessern. Daher hat Apple sein eigenes Sicherheits-Framework gebaut, welches under anderem mit dem MRT Tool gängige Malware blockieren kann.
macOS bietet einen integrierten Vulnerability Scanner namens Malware Removal Tool – oder kurz MRT. Dieser ist im MRT.app-Bundle unter /System/Library/CoreServices/MRT.app/Contents/MacOS/ installiert und schützt vor Bedrohungen, die für den Mac im Umlauf sind. Um das Malware Removal Tool einzusetzen, führen Sie die Binärdatei einfach mit einem -a Flag für Agent und anschließend mit einem -r Flag zusammen mit dem Pfad aus, für den es durchgeführt werden soll.
Angenommen, Sie führen beispielsweise einen launchctl Befehl aus, um LaunchDaemons und LaunchAgents aufzulisten, die derzeit laufen:
launchctl list
Wenn Sie eine verdächtige Datei finden, die etwa mit com.abc beginnt, können Sie die mögliche Gefahr mit folgendem Befehl scannen:
sudo /System/Library/CoreServices/MRT.app/Contents/MacOS/mrt -a -r ~/Library/LaunchAgents/com.abc.123.c1e71c3d22039f57527c52d467e06612af4fdc9A.plist
Im nächsten Schritt wird die von Ihnen aufgespürte Bedrohung auf Übereinstimmungen mit einem bekannten Hash von MRT oder von /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara geprüft. Sofern die Datei erkannt wird, wird sie gelöscht.
Ein sauberer Output würde wie folgt ausschauen:
2018-09-24 21:19:32.036 mrt[48924:4256323] Running as agent 2018-09-24 21:19:32.136 mrt[48924:4256323] Agent finished. 2018-09-24 21:19:32.136 mrt[48924:4256323] Finished MRT run
Malware ist meist ein Zahlenspiel. Sie müssen nur genügend Leute finden, die auf Phishing-E-Mails reinfallen: sei es ein Klick, um ihren iTunes Account zu kontrollieren, oder die Installation einer Erweiterung für Safari. Sobald auf die Phishing-E-Mail reagiert wurde, geht ein Teufelskreis los. Da Benutzer jedoch akzeptieren müssen, was durch Gatekeeper hereinkommt, schauen wir uns an, was genau erlaubt ist.
Mit folgendem Befehl erhalten Sie eine Liste mit erlaubten Hashes:
spctl --list
Wenn Sie eine App via spctl erlauben möchten, finden Sie den Prozess hierfür in einer Liste gespeichert in
sudo sqlite3 /var/db/SystemPolicy
Im Anschluss führen Sie .schema aus, um die Struktur von Tabellen, etc. anzuschauen. Hierzu zählen Feature, Berechtigung, Sequenz und Ojekt, die Hashes enthalten.
Auf der anderen Seite können Sie nach dem com.apple.quarantine Attribut suchen, das auf com.apple.quarantine festgelegt ist:
xattr -d -r com.apple.quarantine ~/Downloads
Und um die in einer App verwendete Signatur anzuzeigen, verwenden Sie codesign:
codesign -dv MyAwesome.app
Um Packages zu signieren:
productbuild --distribution mycoolpackage.dist --sign MYSUPERSECRETIDENTITY mycoolpackage.pkg
Um eine dmg-Datei zu signieren:
codesign -s MYSUPERSECRETIDENTITY mycooldmg.dmg
Bitte beachten Sie, dass codesign in unseren Tests verwendet wird, um Signaturen zu verwalten. Hierbei prüft spctl nur Dinge mit gültiger Entwickler-ID, oder Dinge, die aus dem App Store heruntergeladen wurden. Keine hiervon ermöglicht die Validierung einer Datei, die auf anderem Wege auf den Computer gelangt ist (z. B. über File Sharing).
Ein weiteres verbreitetes Phänomen ist, dass Gatekeeper von Benutzern ausgeschaltet wird, indem LSQuarantine direct deaktiviert wird:
defaults write com.apple.LaunchServices LSQuarantine -bool NO
Und/oder via spctl:
spctl --master-disable
Ebenso läuft MRT derzeit sehr ressourcenintensiv. Indem Sie die binäre Datei aus dem MRT.app Verzeichnis entfernen, wird sie vorerst deaktiviert, sofern Sie zu einer der betroffenen Personen zählen.
Das MRT Tool, obwohl es speziell für Mac Geräte gebaut wurde, entdeckt allerdings nicht jede Art von Apple Malware.
Jamf Protect ist eine Endgerätesicherheitslösung, die speziell auf den Mac ausgerichtet ist. Einhaltung der Endgeräte-Compliance für den Mac, Virenschutz durch die Verhinderung von macOS Malware, Kontrolle von Mac Anwendungen in der Organisation, die Erkennung und Beseitigung von spezifisch auf den Mac ausgerichteten Bedrohungen unter minimaler Beeinträchtigung des Geräts und der Endbenutzererfahrung. In Verbindung mit Jamf Pro und/oder Jamf Connect ermöglicht Jamf Protect umfangreiche Möglichkeiten zur Automatisierung, Untersuchung und Problembehebung, um sowohl kleine als auch große Risiken für Endgeräte zu reduzieren.
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.