Contrairement à la plateforme macOS qui est issue de l'univers Unix, le système d'exploitation macOS est unique, avec des fonctionnalités spécifiques pour les fichiers, processus et réseaux. Par conséquent, les attaques contre macOS prennent généralement une forme différente que sur Windows ou d'autres plateformes. Cependant, la plupart des fournisseurs de logiciels de sécurité développent en priorité des mesures de détection, de prévention et de correction conçues pour Windows. Apple a donc développé son propre système de sécurité, notamment avec MRT, pour bloquer des logiciels malveillants les plus courants.
macOS comporte un scanner de vulnérabilité intégré appelé Malware Removal Tool (abrégé en MRT). Il est installé dans le MRT.app-Bundle sous / System/ Library/ /System/Library/CoreServices/MRT.app/Contents/MacOS/ MIRT. app/ Contents/ MacOS/ et protège votre appareil contre les attaques visant Mac. Pour lancer le Malware Removal Tool, vous devez simplement exécuter le fichier binaire avec un flag -a pour agent et ensuite avec un flag -r associé au répertoire pour lequel il doit exécuté.
Supposons que vous exécutiez une commande launchctl pour afficher les launchdaemons et launchagents actuellement en exécution :
launchctl list
Si vous trouvez un fichier suspect, commençant par exemple par com.abc, vous pouvez évaluer le risque potentiel au moyen de la commande suivante :
sudo /System/Library/CoreServices/MRT.app/Contents/MacOS/mrt -a -r ~/Library/LaunchAgents/com.abc.123.c1e71c3d22039f57527c52d467e06612af4fdc9A.plist
À l'étape suivante, la menace que vous avez détectée sera examinée sur la base de correspondances avec un hash connu de MRT ou répertorié dans System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara. Si une correspondance est identifiée, le fichier sera supprimé.
Les sorties correctes ont ce type de format :
2018-09-24 21:19:32.036 mrt[48924:4256323] Running as agent 2018-09-24 21:19:32.136 mrt[48924:4256323] Agent finished. 2018-09-24 21:19:32.136 mrt[48924:4256323] Finished MRT run
Les logiciels malveillants exploitent les probabilités. Il suffit qu'un certain nombre de personnes se laissent piéger par un e-mail de phishing (ou hammeçonnage), en cliquant sur un lien en vue de paramétrer leur compte iTunes ou en installant une extension de Safari. Une simple réponse à un e-mail de phishing enclenche un véritable cercle vicieux. Comme les utilisateurs doivent toutefois accepter ce qu'ils reçoivent via Gatekeeper, nous allons examiner les mesures autorisées.
La commande suivante vous permet de consulter une liste des hash autorisés :
spctl --list
Si vous souhaitez autoriser une application avec spctl, vous trouverez le processus correspondant dans une liste enregistrée sous
sudo sqlite3 /var/db/SystemPolicy
Ensuite, exécutez .schema pour consulter la structure des tableaux, etc. Cela inclut les fonctionnalités, droits, séquences et objets contenant des hash.
D'autre part, vous pouvez rechercher l'attribut com.apple.quarantine défini sur com.apple.quarantine :
xattr -d -r com.apple.quarantine ~/Téléchargements
Et pour afficher la signature utilisée dans une application, utilisez codesign :
codesign -dv MyAwesome.app
Pour signer des paquets :
productbuild --distribution mycoolpackage.dist --sign MYSUPERSECRETIDENTITY mycoolpackage.pkg
Pour signer un fichier dmg :
codesign -s MYSUPERSECRETIDENTITY mycooldmg.dmg
Veuillez noter que codesign est utilisé dans nos tests pour gérer les signatures. spctl examine uniquement les objets dotés d'un identifiant de développeur valide ou téléchargés depuis l'App Store. Les fichiers arrivés sur l'ordinateur par d'autres moyens, comme par exemple via le partage de fichiers, ne peuvent donc pas être validés.
En outre, les utilisateurs bloquent fréquemment Gatekeeper en désactivant directement LSQuarantine :
defaults write com.apple.LaunchServices LSQuarantine -bool NO
Et/ou via spctl :
spctl --master-disable
Il faut ajouter à cela que le MRT monopolise beaucoup de ressources. Lorsque vous retirez le fichier binaire du répertoire MRT.app, il est automatiquement désactivé si vous êtes l'une des personnes concernées.
Bien que le MRT ait été développé spécifiquement pour les appareils Mac, il n'identifie pas tous les types de logiciels malveillants sur Apple.
Jamf Protect est une solution sécurité ciblée orientée Mac. Respect de la conformité pour les appareils Mac, protection contre les virus en empêchant l'installation de logiciels malveillants ciblant macOS, contrôle des applications Mac au sein de l'organisation, détection et élimination des menaces visant Mac avec un impact minimal sur l'appareil et l'expérience utilisateur. Utilisé avec Jamf Pro et/ou Jamf Connect, Jamf Protect offre de nombreuses solutions d'automatisation, de détection et de résolution des problèmes permettant de réduire les risques de plus ou moins grande ampleur menaçant les appareils.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.