Jamf Blog
Août 3, 2021 Par Mignon Wagner

Comment utiliser le Malware Removal Tool (MRT) intégré d’Apple

La plupart des appareils doivent impérativement être protégés contre les virus (avec un antivirus ou AV) pour garantir un niveau de sécurité de base. macOS dispose d'une protection contre les virus intégrée grâce aux produits Apple XProtect, Gatekeeper et MRT.

Contrairement à la plateforme macOS qui est issue de l'univers Unix, le système d'exploitation macOS est unique, avec des fonctionnalités spécifiques pour les fichiers, processus et réseaux. Par conséquent, les attaques contre macOS prennent généralement une forme différente que sur Windows ou d'autres plateformes. Cependant, la plupart des fournisseurs de logiciels de sécurité développent en priorité des mesures de détection, de prévention et de correction conçues pour Windows. Apple a donc développé son propre système de sécurité, notamment avec MRT, pour bloquer des logiciels malveillants les plus courants.

macOS comporte un scanner de vulnérabilité intégré appelé Malware Removal Tool (abrégé en MRT). Il est installé dans le MRT.app-Bundle sous / System/ Library/ /System/Library/CoreServices/MRT.app/Contents/MacOS/ MIRT. app/ Contents/ MacOS/ et protège votre appareil contre les attaques visant Mac. Pour lancer le Malware Removal Tool, vous devez simplement exécuter le fichier binaire avec un flag -a pour agent et ensuite avec un flag -r associé au répertoire pour lequel il doit exécuté.

Supposons que vous exécutiez une commande launchctl pour afficher les launchdaemons et launchagents actuellement en exécution :

 launchctl list 

Si vous trouvez un fichier suspect, commençant par exemple par com.abc, vous pouvez évaluer le risque potentiel au moyen de la commande suivante :

 sudo /System/Library/CoreServices/MRT.app/Contents/MacOS/mrt -a -r ~/Library/LaunchAgents/com.abc.123.c1e71c3d22039f57527c52d467e06612af4fdc9A.plist

À l'étape suivante, la menace que vous avez détectée sera examinée sur la base de correspondances avec un hash connu de MRT ou répertorié dans System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara. Si une correspondance est identifiée, le fichier sera supprimé.

Les sorties correctes ont ce type de format :

 2018-09-24 21:19:32.036 mrt[48924:4256323] Running as agent 

2018-09-24 21:19:32.136 mrt[48924:4256323] Agent finished. 

2018-09-24 21:19:32.136 mrt[48924:4256323] Finished MRT run 

Les logiciels malveillants exploitent les probabilités. Il suffit qu'un certain nombre de personnes se laissent piéger par un e-mail de phishing (ou hammeçonnage), en cliquant sur un lien en vue de paramétrer leur compte iTunes ou en installant une extension de Safari. Une simple réponse à un e-mail de phishing enclenche un véritable cercle vicieux. Comme les utilisateurs doivent toutefois accepter ce qu'ils reçoivent via Gatekeeper, nous allons examiner les mesures autorisées.

La commande suivante vous permet de consulter une liste des hash autorisés :

 spctl --list 

Si vous souhaitez autoriser une application avec spctl, vous trouverez le processus correspondant dans une liste enregistrée sous

 sudo sqlite3 /var/db/SystemPolicy 

Ensuite, exécutez .schema pour consulter la structure des tableaux, etc. Cela inclut les fonctionnalités, droits, séquences et objets contenant des hash.

D'autre part, vous pouvez rechercher l'attribut com.apple.quarantine défini sur com.apple.quarantine :

 xattr -d -r com.apple.quarantine ~/Téléchargements 

Et pour afficher la signature utilisée dans une application, utilisez codesign :

 codesign -dv MyAwesome.app 

Pour signer des paquets :

 productbuild --distribution mycoolpackage.dist --sign MYSUPERSECRETIDENTITY mycoolpackage.pkg 

Pour signer un fichier dmg :

 codesign -s MYSUPERSECRETIDENTITY mycooldmg.dmg 

Veuillez noter que codesign est utilisé dans nos tests pour gérer les signatures. spctl examine uniquement les objets dotés d'un identifiant de développeur valide ou téléchargés depuis l'App Store. Les fichiers arrivés sur l'ordinateur par d'autres moyens, comme par exemple via le partage de fichiers, ne peuvent donc pas être validés.

En outre, les utilisateurs bloquent fréquemment Gatekeeper en désactivant directement LSQuarantine :

 defaults write com.apple.LaunchServices LSQuarantine -bool NO 

Et/ou via spctl :

 spctl --master-disable 

Il faut ajouter à cela que le MRT monopolise beaucoup de ressources. Lorsque vous retirez le fichier binaire du répertoire MRT.app, il est automatiquement désactivé si vous êtes l'une des personnes concernées.

Bien que le MRT ait été développé spécifiquement pour les appareils Mac, il n'identifie pas tous les types de logiciels malveillants sur Apple.

Jamf Protect est une solution sécurité ciblée orientée Mac. Respect de la conformité pour les appareils Mac, protection contre les virus en empêchant l'installation de logiciels malveillants ciblant macOS, contrôle des applications Mac au sein de l'organisation, détection et élimination des menaces visant Mac avec un impact minimal sur l'appareil et l'expérience utilisateur. Utilisé avec Jamf Pro et/ou Jamf Connect, Jamf Protect offre de nombreuses solutions d'automatisation, de détection et de résolution des problèmes permettant de réduire les risques de plus ou moins grande ampleur menaçant les appareils.

Mignon Wagner
S'abonner au blog

Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.