MACOS系統中最容易被竊取的7種數據

一直以來，macOS系統的最大特點之一就是較少受到惡意軟件的困擾。研究數據顯示：在過去5年中，嚴重困擾Windows終端用戶的勒索軟件攻擊并未在Mac設備上大量重現，鎖定Mac設備或數據并向其所有者勒索贖金的攻擊模式目前還難以實現。

然而，竊取有價值的數據并以惡意的方式將其貨幣化，這種攻擊策略在各個操作系統上都很常見。在macOS系統上，非法攻擊者也同樣在竊取會話cookie、Keychain（密鑰串）、SSH密鑰等信息，并通過廣告軟件或間諜軟件等惡意進程違規收集數據。這些數據可以在各種地下論壇和暗網市場中銷售，或者直接應用于各種網絡攻擊活動。

本文梳理總結了macOS系統中最容易被竊取的7種數據資產類型，以幫助安全運營人員更好地保護企業，并識別潛在的風險跡象。

會話cookie數據

macOS惡意軟件的最常見攻擊目標就是存儲在用戶設備上的會話cookie。為了方便和提高用戶的使用效率，macOS系統上的瀏覽器和許多企業級應用程序通常都會允許用戶保持登錄狀態，直到他們明確退出。這是通過在設備上存儲會話cookie來實現的。如果攻擊者竊取了這些cookie，他們就可以在不同的MAC設備上使用這些cookie來登錄，而無需身份驗證。

在近期發生的CircleCI入侵事件中，Mac電腦的會話cookie就被違規竊取。根據CirlceCI的公開聲明顯示：“我們已經了解到，一個未經授權的第三方利用部署到CircleCI工程師筆記本電腦上的惡意軟件，竊取了一個有效的SSO會話。該設備于2022年12月16日被入侵。現有的殺毒軟件沒有檢測到惡意軟件。調查表明，該惡意軟件能夠執行會話cookie盜竊，并在遠程位置模擬目標員工，然后實現對公司業務系統的訪問。”

在macOS系統中，會話cookie通常位于用戶或進程可以訪問的位置，盡管這些位置（例如用戶庫cookie文件夾）通常會受到“透明、同意和控制”（TCC）框架的限制，但是研究人員發現，TCC雖然對正常使用者來說是一種管控措施，但對攻擊活動來說很難構成有效的限制。

以下是在macOS上存儲會話cookie的位置的一些常見示例：

此外，與應用系統相關的數據庫也是犯罪分子的攻擊目標。弱加密的數據庫可以通過一些用戶密碼知識就能輕松解密，且通常被惡意軟件安裝程序在最初的攻擊中獲取到。例如，Zoom的加密數據庫就是Pureland infostealer的目標。

【pureland Infostealer搜索Zoom加密數據庫】

用戶的密碼管理文件

在用戶的Mac電腦上，最重要的數據可能是用戶的密鑰管理文件，這是一個用于存儲密碼、身份驗證令牌和加密密鑰的加密數據庫。密鑰管理文件使用了強大的加密技術，不能簡單地通過竊取數據庫甚至訪問計算機來破解。然而，密鑰管理文件的弱點是，如果攻擊者掌握了用戶的登錄密碼，其中存儲的隱私信息就可以全部被解鎖。如果該密碼很弱，很容易被猜到，或者由于使用者的疏忽而錯誤提供給惡意進程，那么密鑰管理文件的加密強度將完全起不到作用。

研究數據顯示，密鑰管理文件已經成為非法攻擊者的目標。最近的例子包括DazzleSpy和一種被稱為“KeySteal”的威脅，這種威脅最初是由趨勢科技的研究人員于2022年11月份發現。蘋果公司在今年3月發布的XProtect v2166和XProtectRemediator中才添加了KeySteal檢測功能。

KeySteal的目標文件與.keychain和keychain-db文件擴展名存在以下位置：

【枚舉macOS密鑰管理文件的惡意函數】

當密鑰管理文件被查詢后，就會被base64編碼，并通過名為JKEncrypt的開源中文加密庫進行加密，JKEncrypt是一種“自制”加密函數，使用傳統的3DES算法。

 用戶登錄密碼信息

如上所述，用戶的密鑰管理文件對未經授權的一方用處不大，除非他們也擁有登錄用戶的密碼，而且由于登錄密碼對于Mac設備上的幾乎所有操作都是必要的身份驗證，因此它們受到惡意攻擊者的高度追捧。

用戶登錄密碼竊取可以通過多種方式實現：通過欺騙、通過鍵盤記錄或者一些簡單的任務請求授權，然后將該授權用于非法的攻擊活動。

惡意軟件通常會要求受害者提升權限，這樣它就可以安裝一個特權可執行文件，隨后以高級用戶身份來運行，完成攻擊者想要完成的各種任務。CloudMensis/BadRAT間諜軟件就是一個很好的例子。

【CloudMensis/BadRAT會向用戶發出權限升級的請求】

 瀏覽器中的密碼及相關數據

許多macOS用戶會利用瀏覽器來存儲網站登錄憑據和密碼，以及其他有用的數據，如用戶填寫的登錄憑證、瀏覽器歷史、搜索歷史和下載歷史，這也是非法攻擊者非常感興趣的信息。

以Pureland infostealer的惡意攻擊活動為例，Pureland執行以下命令作為getChromeSSPass函數的一部分：

security 2>&1 > /dev/null find-generic-password -ga 'Chrome' | awk '{print $2}' > /Users/

【Pureland Infostealer上與Chrome數據盜竊相關的字符串】

不過，該惡意進程需要具備更高的權限，并繞過通常的TCC控制才能成功，否則用戶將會收到有關該嘗試的安全警告。

SSH密鑰信息

攻擊者一旦擁有macOS用戶的SSH密鑰，就可以在受害者的系統上驗證自己的身份。SSH文件夾還會允許攻擊者訪問同一系統上的其他帳戶或同一網絡上的其他系統配置文件。除了竊取SSH密鑰之外，如果攻擊者能夠獲得SSH文件夾的讀寫訪問權，他們還可以通過分發自己的授權密鑰以實現后門遠程訪問。

2022年5月，macOS Rust開發人員就淪為了CrateDepression SSH密鑰竊取攻擊的目標，本次攻擊活動影響了在其MAC設備上設置了GITLAB_CI環境變量的用戶，這也表明攻擊者對用于軟件開發的持續集成（CI）管道感興趣。一旦攻擊成功入侵主機設備，就會觸發Poseidon有效載荷，其中包括搜索和竊取SSH密鑰。

【Poseidon代理搜索妥協設備上的SSH和AWS密鑰】

同樣值得注意的是，除了硬編碼SSH數據盜竊的惡意軟件外，任何能夠將文件上傳到遠程服務器的后門RAT都可以搜索SSH密鑰。

macOS系統環境信息

許多macOS惡意軟件的一個常見行為是從設備中查詢和竊取各種環境信息數據。出于各種原因，這可以用于偽造設備的特征指紋，包括選擇性地發送惡意軟件和執行惡意軟件。例如，C2可以自動交付特定平臺、特定版本的惡意軟件。類似地，威脅行為者還可能會向各種受害者分發特定的（其環境與攻擊者的興趣相匹配）攻擊載荷。

如果攻擊者對目標環境有深入了解，則可以創建針對該信息的散列，僅在受感染設備的信息匹配時才執行。這種有選擇性的傳遞和執行，可以使得攻擊者更高效的實施攻擊活動，同時更難以被發現。DazzleSpy就是這種惡意攻擊的一個真實事例，該惡意軟件會輪詢（poll）其環境以獲取大量的環境數據。

【DazzleSpy非常詳細地監視它的主機環境】

 粘貼板中的內容信息

當用戶通過快捷鍵“Cmd-C”執行復制功能時，粘貼板或剪貼板就會在內存中存儲文本、圖像和其他數據。

對于惡意軟件開發者來說，粘貼板很有吸引力，因為它是密碼、加密貨幣地址和其他數據竊取的有效途徑。例如，一些加密貨幣竊賊會監視用戶將錢包地址復制到粘貼板上，然后將其替換為屬于攻擊者的地址。

獲取并寫入粘貼板相對容易，因為蘋果提供了Foundation框架NSPasteboard api，以及Unix命令行實用程序pbcopy和pbpaste。

EggShell RAT就是一個很好的例子。這個自定義版本被用于XcodeSpy惡意軟件。

【getPasteBoard函數被用于XcodeSpy惡意軟件】

防護建議

隨著Mac電腦設備在企業生產和開發團隊中越來越受歡迎，存儲在Mac電腦上的數據對攻擊者來說正變得越來越重要。企業要緩解各種類型的數據竊取攻擊，首先需要部署一個完善的端點安全解決方案，它既可以快速識別并阻止惡意軟件，也可以讓安全團隊看到設備上正在發生的事情。

此外，安全運營人員還應該定期監控試圖訪問密鑰鏈、SSH和上面討論的其他文件路徑的進程。

最后，盡管macOS系統的TCC機制還有很多不完善的地方，但保持macOS系統的及時更新仍然至關重要，因為蘋果公司會定期升級TCC框架，并修補研究人員報告的其他安全漏洞，降低MAC設備的使用風險。