Trotz der Herausforderungen, mit denen wir alle im Jahr 2021 konfrontiert waren, schienen Hacker, die auf macOS und iOS basierte Geräte abzielten, einfach keine Ruhe zu geben. Tatsächlich haben die Sicherheitsbedrohungen, die auf das Apple Ökosystem abzielen, nicht nur zugenommen , sondern waren auch neu und extrem ausgeprägt. Sie haben bestehende Angriffe umfunktioniert, neue Bedrohungen entwickelt und mehrere Bedrohungen miteinander kombiniert, um mehrgleisige Nutzlasten zu bilden. Diese Bemühungen zielten darauf ab, böswilligen Hackern verschiedene Möglichkeiten zu bieten, Geräte zu infizieren und zu kompromittieren und gleichzeitig die Persistenz für zukünftige, noch nicht entwickelte Angriffsformen zu erhalten.
In diesem Blog berichten wir über 10 Sicherheitsbedrohungen und Schwachstellen , die sich im Jahr 2021 auf die Sicherheit von macOS und iOS-Endgeräten auswirkten, was sie anrichten konnten und warum sie so verheerend waren.
Doc Brown
Die Beliebtheit von macOS bei Privat- und Unternehmensanwendern nimmt weiter zu. Und es ist kein Geheimnis, warum. In den letzten Jahren wurden einige großartige Computer auf den Markt gebracht: dünnere, leichtere und leistungsstärkere Laptops der MacBook Pro-Reihe und die Weiterentwicklung der M1 Silicon-on-a-Chip (SoC) Architektur für mehr Leistung und Effizienz. Es sollte also keine Überraschung sein, dass laut dem Apple-Sicherheitsforscher Patrick Wardle im Jahr 2021 sage und schreibe acht neue macOS-Malware-Familien aufgetaucht sind.
1. XLoader: Ursprünglich als eine ausführbare Windows-Datei erkannt, haben die Entwickler von xLoader eine Mach-O-Binärdatei erstellt, die von Hackern in einer gehosteten Umgebung in einem Malware-as-a-Service-Angebot angeboten wurde. So kann jeder seine eigene XLoader-basierte Malware als macOS-Binär- oder .jar-Datei erstellen, um Anmeldedaten zu stehlen und Tastenanschläge aufzuzeichnen.
2. XCSSET: Die von Jamf Threat Labs entdeckte XCSSET-Malware, umgeht den TCC-Schutz von Apple, der den Datenschutz gewährleistet, indem sie Xcode-Workflows infiziert. Der Zero-Day-Exploit funktioniert, indem er heimlich die Berechtigungen einer bestehenden App abgreift und dann eine eigene App mit den vorab genehmigten Berechtigungen der Spender-App erstellt. Das Endergebnis? Eine bösartige App, die mit datenschutzschädigenden Berechtigungen ausgeführt wird, denen der Benutzer nie zugestimmt hat.
3. Log4j: Obwohl es sich nicht um eine macOS-spezifische Bedrohung handelt , war der Java-basierte Exploit, der Computersysteme auf der ganzen Welt angriff, relevant genug, angesichts der Anzahl von Systemen, die auf Java-Bibliotheken angewiesen sind, um viele Anwendungen und Dienste zu betreiben. Aber die Tatsache, dass das Problem während der Feiertage auftrat, machte es noch schlimmer und zwang viele Unternehmen dazu, die IT-Abteilung zu bemühen, um die Auswirkungen einzudämmen, bis Patches zur Behebung des Problems zur Verfügung standen.
4. Shlayer: Wir sahen auch eine weitere Malware-Bedrohung, die von den Jamf Threat Labs entdeckt wurde, und den Gatekeeper-Schutz umgeht. Diese Variante von Shlayer funktioniert durch die Erstellung eines Anwendungspakets mithilfe eines bösartigen Skripts, das die Ausführung eines aus dem Internet heruntergeladenen Anwendungspakets ermöglicht und die Datei-Quarantäne, den Gatekeeper und die Notarisierung überspringt.
5. Silver Sparrow: Dieses Framework bot einige Neuerungen für Mac-Malware, indem es den Infektions- und Persistenzstatus an seine Urheber zurückmeldete, eine Java-basierte Nutzlast enthielt, die C2-Funktionen für zukünftige Angriffe installiert und einrichtet, und die erste Malware war, die nativ auf der M1-Architektur von Apple lief.
6. Sudo-Eskalation: Während "root" zu bekommen sicherlich Teil der Strategien vieler Angreifer ist, betrifft die in CVE-2021-3156 identifizierte Schwachstelle, die Unix-basierte Systeme betrifft, auch macOS. Im Wesentlichen können sich böswillige Hacker selbst sudo-Rechte geben,, was, wie Ihnen jeder IT-Administrator sagen wird, die erste Zutat in einem Rezept für eine Katastrophe ist.
Marty McFly
Da immer mehr Unternehmen Remote- oder hybride Arbeitsumgebungen einführen, ist die Nutzung dieser leistungsstarken mobilen Technologien ein Muss für Unternehmen, die Flexibilität suchen, während die Benutzer von überall und jederzeit arbeiten können. Aber das hat auch seine Nachteile. Die Kehrseite ist in diesem Fall ein erhöhtes Risiko für die Sicherheit mobiler Endgeräte durch Spyware, Schwachstellen und hartnäckige Malware (ja, Sie haben richtig gelesen!).
7. Persistenz PoC: Die meiste Malware auf iOS läuft im Speicherbereich, sodass die Malware beim Neustart eines Geräts aus den laufenden Prozessen gelöscht wird und erneut ausgeführt werden muss. Wie bei macOS war die Persistenz schon immer etwas, das es Malware ermöglichte, trotz Stromausfällen weiterzulaufen, aber unter iOS war das nicht möglich. Das heißt, bis ein Sicherheitsforschungsteam eine Schwachstelle in der Art und Weise identifizierte, wie iOS Rückmeldungen verarbeitet. Dadurch konnte Malware im Speicher ausgeführt werden, ohne einen Zero-Day zu nutzen, und war für die Benutzer nahezu unentdeckbar.
8. CVE-2021-30883: Diese Schwachstelle, die die Bedeutung eines regelmäßigen Patch-Management-Prozesses hervorhebt, ermöglichte es einer Anwendung, einen beliebigen Code mit den Rechten des Kernels auszuführen. Im Wesentlichen können Angreifer auf diese Weise lokale Privilegien ausweiten, aus der App-Sandbox entkommen und als Teil einer viel mächtigeren Angriffskette kombiniert werden.
9. Pegasus: Ursprünglich als gezielte Spionagesoftware für die Polizei entwickelt, um Daten von mutmaßlichen Kriminellen zu erfassen, kam diese Spionagesoftware in großem Stil ans Licht, nachdem Amnesty International entdeckt hatte, dass die Software gegen Journalisten, Aktivisten und Dissidenten eingesetzt wurde. Pegasus wurde schließlich mit Zero-Day-Schwachstellen in iMessage und WhatsApp als Teil einer „Zero-Click- Angriffskampagne “ gepaart, bei der automatisch Spyware installiert wurde, ohne dass die Benutzer überhaupt auf Textnachrichten oder Anrufe reagierten.
10. XcodeSpy: Diese Malware, die als Supply-Chain-Angriff betrachtet wird, zielt auf die Infizierung von Xcode-Projekten ab, die von Apple-Entwicklern rechtmäßig zur Entwicklung neuer Anwendungen verwendet werden. Dies ermöglicht es Bedrohungsakteuren nicht nur, den Entwicklungsprozess zu stören, sondern auch einen umfassenderen Zugriff auf eine ganze Reihe von Zielen von jedem zu erhalten, der die betroffene Software erfolgreich auf seinen iOS-basierten Geräten installiert.
Zurück in die Zukunft
In dem 80er-Jahre-Hit reist die Hauptfigur nach einem Besuch in der Vergangenheit zurück in die Gegenwart, nur um herauszufinden, dass zwar bestimmte Dinge gleich geblieben sind, aber andere Ereignisse in der Zukunft verändert wurden. In dieser Hinsicht hat die Mac-Cybersecurity etwas mit "Zurück in die Zukunft" gemeinsam. So wird die im vorherigen Abschnitt erwähnte Malware nicht nur weiterhin ausgenutzt, sondern dient auch als eine Art Sprungbrett für böswillige Hacker, die neue, raffiniertere Methoden zur Verbreitung von Malware, zur Kompromittierung von Geräten und zum Datendiebstahl entwickeln.
Ransomware
Wie ein falscher Pfennig, der immer wieder auftaucht, ist Ransomware nie wirklich verschwunden, sondern wurde lediglich verfeinert, um seine Dominanz in der Welt der Malware weiter zu behaupten. So wie jemand, der sich bemüht, gesünder zu essen, täglich Sport zu treiben und schädliche Verhaltensweisen aus seinem Leben zu verbannen, war Ransomware offen gesagt noch nie so attraktiv für Hacker, die mit diesem lukrativen Unterfangen reich werden wollen.
Laut einem Bloomberg -Artikel gab es "in den ersten sechs Monaten des Jahres 2021 verdächtige Aktivitäten im Zusammenhang mit Ransomware im Wert von 590 Millionen Dollar." Der Betrag für das Jahr 2020, fragen Sie? 416 Millionen US-Dollar für das ganze Jahr!
Als ob die Lage in Bezug auf Ransomware nicht schon düster genug wäre, zeichnet sich am Horizont noch eine größere Sorge ab: Ransomware-as-a-Service (RaaS). Ransomware-Entwickler haben sich auf die Cloud gestürzt , wo sie Hackern den Zugriff auf ihre Infrastruktur verkaufen oder vermieten, die Ransomware-basierte Angriffe durchführen möchten, aber möglicherweise nicht über die erforderlichen technischen Fähigkeiten und/oder Tools verfügen, um eine Kampagne selbst zu starten.
Es gibt verschiedene "RaaS-Kit"-Modelle, von einem monatlichen Abonnement bis hin zu Partnerprogrammen, bei denen die Betreiber einen Prozentsatz des Umsatzes erhalten, sowie reine Gewinnbeteiligungen und einmalige Lizenzgebühren. Täuschen Sie sich nicht — mit durchschnittlich 10 Millionen US-Dollar pro erfolgreicher Kampagne ist der Anreiz für schlüsselfertige Operationen zur Aufrechterhaltung der Infrastruktur, sicherlich gegeben, wobei Forscher davor warnen, dass RaaS bereits für fast zwei Drittel der Ransomware-Kampagnen im vergangenen Jahr verantwortlich ist.
Das Positive daran ist, dass nicht alles nur düster ist. Nein, wir haben keinen DeLorean, mit dem wir in eine einfachere Zeit zurückreisen können, aber das FBI hat einige ausgezeichnete Empfehlungen gegeben, wie Sie Ihr Unternehmen besser davor schützen können, den Risiken von Ransomware-Bedrohungen zu erliegen.
Großer Gott, Ihre mobile Flotte hat keinen Endpunktschutz!
Keine Sorge, wenden Sie sich noch heute an Jamf oder Ihren bevorzugten Vertreter, um zu besprechen, welche Optionen verfügbar sind, die den spezifischen Bedürfnissen und Compliance-Anforderungen Ihres Unternehmens entsprechen.
nach Kategorie:
Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.