Eine gängige Komponente von (vielen) Sicherheitswerkzeugen ist ein Process und File Monitor. Wie der Name schon sagt, überwachen diese Monitore verschiedene Prozess- und Datei- Ereignisse (z.B. das Erstellen, Öffnen, Löschen von Dateien). Solche Monitore extrahieren oft "Metainformationen" wie den Prozess-/Dateipfad, Prozessargumente und Prozesscode-Signaturinformationen.
Ausgestattet mit einem Process und File Monitor können Sicherheitstools ungewöhnliche oder schädliche Aktivitäten finden. Dazu gehören unter anderem:
- Ein Dokument, das beim Öffnen Malware installiert.
- Eine Website, die beim Besuchen ein Benutzersystem infiziert.
- Eine trojanische Anwendung, die Adware installiert, wenn ein Benutzer sie öffnet.
- Eine hartnäckige Backdoor, die Keychain-Informationen auf einem infizierten System stiehlt.
In früheren Versionen von macOS war es ziemlich schwierig, einen Process und File Monitor umfassend (und akkurat) zu erstellen. Der einfachste Weg, diese Aktionen durchzuführen, war innerhalb des Kernels. Da Apple sich schnell bemüht, Kernel-Erweiterungen von Drittanbietern (einschließlich solcher, die von externen Sicherheitsanbietern erstellt wurden) zu verwerfen, war eine andere Lösung erforderlich!
Zum Glück hat Apple mit der Veröffentlichung von macOS 10.15 (Catalina) ein neues User-Mode Framework namens "Endpoint Security" eingeführt. Mit der Einführung dieser neuen Funktion erkennt Apple sowohl den Bedarf an zusätzlichen Sicherheitsmechanismen (d.h. einer umfassenden Verteidigung) als auch die Unterstützung von Drittanbietern, die diese Rolle übernehmen!
Obwohl Apples Endpoint Security System und Framework sich noch in der Beta-Phase befindet, haben wir das Potenzial erkannt und für Jamfs Day-Zero macOS-Sicherheitstools entworfen. Wir entwickeln bereits intern umfassende Process und File Monitors, die ausschließlich auf dem neuen Endpoint Security Framework von Apple basieren. Solche Monitore werden nahtlos in unser zukünftiges macOS-Sicherheitstool integriert, das in Kürze veröffentlicht wird. Wir hoffen Sie sind schon so aufgeregt wie wir!
Ich habe einen mehrteiligen Einblick in die technischen Details des "Endpoint Security Framework" gegeben, einschließlich der Erstellung eines Prozess- und Datei-Monitors.
Diese finden Sie auf meiner persönlichen macOS-Sicherheits-Website, Objective-See:
- Schreiben eines Prozess-Monitors mit Apples Endpoint Security Framework
https://objective-see.com/blog/blog_0x47.html
- Schreiben eines Datei-Monitors mit Apples Endpoint Security Framework
https://objective-see.com/blog/blog_0x48.html
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.