企業感染Mac版惡意軟件的7種途徑與防護

一直以來，Mac系統及終端設備的最大賣點之一就是它很少受到網絡病毒感染的困擾。雖然到目前為止，Mac系統還是要比Windows、Android等系統更安全，但已經有很多真實的案例證明，macOS的安全問題需要企業組織給予更多關注和重視。

據SentinelOne公司在2022年開展的調查數據顯示，運行macOS終端的企業組織正在面臨更多的安全威脅，其中安全后門數量和跨平臺攻擊框架在快速增長，以CrateDepression、PyMafka、ChromeLoader等為代表的Mac版惡意軟件已經通過多種途徑感染了大量企業用戶的辦公設施。而且，有許多macOS威脅采用的感染途徑仍然不為人知，研究人員常常只能通過一些偶然的機會發現惡意軟件，或者在VirusTotal等惡意軟件存儲庫中發現樣本。

macOS感染的主要途徑

為了幫助企業制定更可靠的macOS安全防護策略，以下收集整理了惡意軟件危害macOS系統的7種主要途徑。

途徑1免費工具誘餌

大量macOS惡意軟件通過免費工具下載網站來傳播，比如torrent網站、共享軟件網站、破解版應用程序網站或免費的第三方應用程序分發網站。

圖1

免費工具誘餌通常包括：

• 破解版軟件；
• 體育直播網站；
• 影視、游戲和音樂下載網站；
• 數字版權管理（DRM）規避網站；
• 其他非法內容網站。

對于免費工具誘餌，攻擊者可將其用于傳播廣告軟件和捆綁包感染，最常見的情況是向用戶提供免費或破解版應用程序；用戶開始下載聲稱含有該應用程序的磁盤映像文件，但安裝時發現它原來是Flash Player、AdobeFlashPlayer之類的應用程序。這些文件通常未簽名，用戶會得到介紹如何覆蓋macOS Gatekeeper以啟動它們的說明。

研究人員發現，最近有一些攻擊者開始將用戶引到Terminal以覆蓋Gatekeeper，可能是為了繞過組織安全管理員部署的一些額外安全控制機制。有證據表明，Mac用戶普遍認為瀏覽這類欺騙誘餌鏈接本身不危險，因為Mac系統“不容易感染病毒”。然而，這些網站會迅速將用戶從安全搜索引到危險下載，而這些威脅常常被蘋果內置的檢測技術XProtect漏過。

防護建議

企業應對通過這類途徑實施的macOS惡意軟件感染，可以采用如下措施：

• 通過MDM及應用程序允許/拒絕列表，控制與軟件下載有關的權限；
• 通過MDM解決方案或安全產品，限制對Terminal的訪問；
• 使用第三方安全防護工具，限制或阻止未簽名代碼的執行；
• 使用端點保護軟件，防止和檢測已知的macOS惡意軟件。

途徑2面向Mac用戶的惡意廣告

網頁上的惡意廣告可以在用戶的瀏覽器中運行隱藏代碼，將受害者重定向到惡意威脅網站。在過去的一年，針對macOS用戶的已知惡意廣告活動主要包括ChromeLoader和oRAT。

ChromeLoader采用惡意Chrome擴展的形式，劫持用戶的搜索引擎查詢，安裝偵聽器以攔截出站瀏覽器流量，并向受害者投放廣告軟件。

oRAT是一個用Go編寫的后門植入程序，被下載到受害者的機器上，實際上是一個未簽名的磁盤映像（.dmg），卻偽裝成一系列Bitget應用程序。磁盤映像含有一個名為Bitget Apps的軟件包和分發標識符com.adobe.pkg.Bitget。經過加密的數據被附加到含有C2 IP地址等配置數據的惡意二進制代碼中。

防護建議

應對通過惡意廣告分發的macOS惡意軟件威脅，企業可以采取如下措施：

• 使用防火墻和Web過濾器來阻止訪問已知惡意網站，設置在某些特殊情況下，可以將防火墻策略設置為只能訪問一組授權IP；
• 使用廣告攔截軟件阻止大多數廣告顯示，但這可能會影響性能和對一些資源的訪問；
• 部署端點防護軟件，以防止和檢測通過惡意廣告投放的惡意代碼執行。

途徑3被感染的開發者項目

macOS攻擊者正在嘗試更大規模感染、實施供應鏈攻擊以及網絡間諜活動，而應用系統開發者正是高價值的攻擊目標。一旦開發者在無意中將惡意代碼插入到用它構建的任何iOS應用程序中，許多受感染的應用程序就會在蘋果應用商店發布。受感染的應用程序能夠竊取敏感信息，比如設備的唯一標識符和用戶的Apple ID，并在受感染的iOS設備上執行任意代碼。

研究人員發現，攻擊者目前正在企圖通過共享代碼來感染開發者。由于開發者希望提高工作效率，他們常常尋找共享代碼，而不是嘗試自行編寫代碼，以實施復雜的庫或不熟悉的API調用。

很多有用的代碼可以在Github等公共代碼庫中找到，但這些代碼庫也可能含有為攻擊者打開后門的惡意軟件或代碼。以XCSSET惡意軟件為例，由于項目的****.xcworkspacdata被篡改，導致隱藏的惡意文件被引用執行，然后在開發者機器上實施多階段感染，包括投放后門。

防護建議

應對通過這個途徑分發的macOS惡意軟件威脅，企業可以采取以下措施：

• 將開發環境與生產環境隔離；
• 要求所有共享的開發者項目在下載到公司設備之前通過審查和授權；
• 落實安全開發實踐，比如安全編程指南、代碼審查和結伴編程；
• 加強開發人員的網絡安全意識培養和提升；
• 使用端點保護軟件監測可疑和惡意代碼的執行。

途徑4攻擊開源軟件存儲庫

如果攻擊者攻擊開源軟件存儲庫，情況將變得更加嚴重。通過這些存儲庫共享的代碼廣泛用于各大企業組織的許多macOS版業務項目中，相應的安全審查工作存在大量薄弱環節。軟件存儲庫容易受到誤植域名攻擊和依賴項混淆攻擊。在一些情況下，合法軟件包的所有權會被劫持或被轉移給攻擊者。例如：在2022年5月，流行的PyPI軟件包PyKafka就遭到了惡意軟件包PyMafka欺詐性域名攻擊，其中包含了用于檢查主機并確定操作系統的Python腳本。

如果設備運行macOS，它會連接到C2，下載名為MacOs的Mach-O二進制文件，并以“zad”的名稱將其寫入到/private/var/tmp。二進制文件用UPX打包，經過混淆處理，投放了Cobalt Strike信標。

防護建議

為了應對通過這個途徑分發的威脅，安全團隊可以采納以下建議：

• 使用私有存儲庫，并配置軟件包管理器，不默認使用公共存儲庫；
• 要求通過代碼簽名來驗證軟件包的真實性；
• 定期審計和驗證來自外部的開源代碼。

途徑5木馬應用程序

攻擊軟件包存儲庫可能會有嚴重深遠的影響，但它們也很顯眼，容易被發現。相比之下，一些企圖更隱蔽投放惡意軟件的攻擊者，可能更喜歡將流行應用程序變成木馬病毒。

2021年，百度搜索引擎中的某些鏈接被發現用來通過流行應用程序iTerm2的木馬版本傳播惡意軟件。進一步調查后發現，攻擊者還同時使用了微軟Remote Desktop for Mac、Navicat和SecureCRT的木馬版本。這些應用程序使用了不同于合法簽名的開發者簽名，以確保它們不被Gatekeeper阻止。除了替換原始代碼簽名外，攻擊者還使用了名為libcrypt.2.dylib的應用程序包修改程序，可以監視本地環境、連接到C2服務器以及通過后門執行遠程命令。

研究人員最近還發現了一種開源工具的惡意版本，旨在竊取受害者的密碼和鑰匙鏈，讓攻擊者可以全面訪問macOS中用戶的所有密碼。開源工具Resign Tool常被開發者用來重新簽名應用程序，并將它們捆綁成ipa文件安裝到iOS設備上，這表明攻擊者顯然在有意識的感染開發者。

防護建議

為了應對通過這個途徑分發的威脅，企業可以采取的措施包括如下：

• 驗證所有代碼都已簽名，并與適當的已知開發者簽名相對應；
• 使用安全產品限制或阻止未簽名代碼的執行；
• 使用端點保護軟件防止和檢測可疑或惡意代碼的執行。

途徑6漏洞攻擊

一種不太常見的感染途徑，需要攻擊者具備一定專業知識才能得逞，那就是利用瀏覽器漏洞感染中毒網站的訪問者。瀏覽器上存在了一些危險的0day漏洞，即使被修復后，這些漏洞仍可能作為N-day漏洞來攻擊未及時更新瀏覽器的企業。

最近發現的利用macOS漏洞并將其用于攻擊的攻擊者就Macma負責的一個APT組織。據谷歌TAG的研究人員稱，Macma結合了WebKit中的N-day遠程代碼執行漏洞（CVE-2021-1789）和XNU中的0day本地特權升級漏洞（CVE-2021-30869）。這些漏洞用于在內存中加載和執行Mach-O二進制文件，能夠逃脫Safari沙箱，提升特權，并從C2下載第二階段載荷。

防護建議

為了應對通過這個途徑分發的威脅，企業組織可以采取以下措施：

• 確保系統和應用程序是最新版本，防止利用N-day漏洞發動的攻擊；
• 部署智能化主動式安全解決方案，以檢測0day感染鏈中出現的可疑行為；
• 部署支持在較長時間內關聯分析威脅并溯源的安全解決方案。

途徑7 軟件供應鏈攻擊

前面討論的一些感染途徑已經被用于實施的軟件供應鏈攻擊，尤其是涉及木馬應用程序、共享開發者代碼和軟件包存儲庫的攻擊。早在2016年，流行的macOS torrent客戶軟件Trransmission就被發現感染上了macOS勒索軟件。而在2022年，研究人員發現APT 27組織闖入了屬于MiMi聊天應用程序的服務器，將惡意JavaScript添加到了用于安裝某流行聊天應用程序的磁盤映像中。當用戶運行安裝程序后，惡意軟件會主動聯系遠程IP，以檢索rshell二進制文件。

防護建議

相比以上感染路徑的防護，企業防御軟件供應鏈攻擊需要更加全面的安全策略，包括上述的大部分建議，同時還要特別關注以下建議：

• 對所有供應商和合作伙伴進行摸底調查，確保它們落實了良好的安全措施；
• 定期審計和核查供應鏈安全，包括記錄更新供應商和合作伙伴的最新變化；
• 在整個組織內實施可靠的安全控制措施，包括使用新一代的端點、云和身份管理安全控制措施；
• 定期更新軟件系統，修補漏洞。

如何判斷macOS已被感染？

企業應該注意某些告警信號，以確定macOS終端設備是否已被感染惡意軟件：

? 檢查macOS設備是否過熱。當macOS設備過熱時，可能是惡意應用程序在過度使用CPU資源和內存，從而導致設備自身過度工作。

? 檢查macOS是否在使用過多數據。這是macOS已被入侵的最大跡象。雖然Netflix等應用程序通常會使用大量數據（因為高分辨率視頻流屬于數據密集型的應用程序），但是，當出現流量異常時要及時進行驗證，需要檢查macOS設備設置并查看每個應用程序使用了多少數據。

? 檢查瀏覽器未打開的情況下，是否也會收到彈出窗口。如果用戶未使用Safari、Chrome或其他瀏覽器應用程序，用戶的macOS設備上不應出現彈出窗口。如果仍然彈出窗口，那么這是一個危險信號。

? 檢查是否在macOS設備上看到奇怪的應用程序。如果看到一個不記得曾下載過的應用程序，那么這是設備上安裝了惡意軟件的另一個危險信號。

? 檢查應用程序是否經常崩潰。當用戶的設備上存在惡意軟件時，它們往往會占用額外的計算資源，因此其他應用程序將無法正常運行并且更有可能崩潰。

? 檢查電池耗電是否比平時快。如前所述，惡意軟件應用程序往往會占用資源，因為它們正在傳輸和上傳數據，或者在后端安裝更多惡意軟件。因此，用戶的macOS設備將比平時更快地消耗電量。

? 檢查macOS設備是否運行緩慢。這是檢查macOS系統是否已感染惡意軟件的最后標志。