MacOS很安全?這只是錯(cuò)覺
一句“PHP是世界上最好的编程语言”可以成功惹毛一票程序员。同样,随口一句“Windows系统比Mac系统更安全(或反之)”也能让IT安全人员吵个不可开交。
Windows诞生的头10年该产品轻易坐稳史上最好攻击操作系统(OS)的宝座,成功攻击的数量更让公众对Windows的安全性失去信任。相比之下,很多果粉则觉得MacOS基于苹果的封闭系统环境理应比Windows系列更加安全。
在长达几十年的用户争夺战后,相关Windows和Mac的安全话题似乎已经演变成了技术信仰问题。而随着苹果设备的大批量出货,MacOS的安全神话也正被逐渐打破。
那么,如今的MacOS还像我们想象的那样安全吗?其如今又面临着哪些安全威胁呢?在6月11日举办的TenSec2019峰会上,腾讯mac安全专家王朝飞结合现阶段研究成果进行了分享。
MacOS安全吗?
截止2019Q1,Mac终端的市场占有率是6.82%,Windows却高达93.2%。两个数据作比对,不少人会觉得Mac终端的市场份额还是相对小众的,但实际情况却并非如此。
“在某些行业公司里,如互联网公司、设计公司Mac所占比例远高于此,且比例呈现不断攀升的趋势。”
王朝飞称,在腾讯Mac设备已经占据全部在用机型的25%,同样的情况也存在于其他行业的公司。有时候,看似小众的Mac产品安全性往往对于企业用户来说至关重要。
Mac系统本身的安全性做得如何呢?自面世至今,MacOS引入了很多的安全机制,其中主流版本10.14主要有以下四大安全机制:
1、Gatekeeper——对互联网下载应用程序进行签名校验。
2、Xprotect——对应用程序进行静态特征检测,包括字符串,哈希,压入,规则匹配等,可理解成是MacOS自己集成的一个小的杀软。
3、SIP——又叫Rootless,主要是对系统运行进程、系统关键文件以及内核扩展加载进行保护。
4、Sandbox——对应用程序所能访问的软件资源、硬件资源和网络资源等做限制。
上述四大安全机制可以保证应用程序从下载落地到终端执行的安全。
然而,这并不能100%保证MacOS的安全。自MacOS面世至今,这四大安全机制已经出现过无数漏洞并支持黑客进行PAAS或者DOS攻击。
据统计,从2016到2017年,针对Mac平台的恶意程序增长了270%。仅在2018年一年,增长速度达到165%。截至目前,MacOS的恶意程序量级已经达到10万级。其中,具有针对MacOS入侵能力的APT组织23个,木马家族62个。
“可以说,MacOS上的高级持续性威胁其实是一直存在的。”
MacOS攻击演示
在模拟攻击案例中,王朝飞采用Remote Custom URL Scheme的攻击手法,从黑客角度分享了对MacOS终端展开攻击的全过程。
Custom URLScheme可以被类比成Windows中不同的文件拓展对应不同的默认关联程序。举个例子,假如在浏览器中输入http://baidu.com,那么浏览器就会去解析这个域名。如果一个Mac上的App声称它支持hXXp这种URLscheme格式,那么如果在浏览器中输入hXXps.baidu.com那么系统就会自动去关联这个App来解析URL scheme。
顾名思义,Remote Custom URL Scheme就是一种远程利用的方式。
攻击的第一步,通常黑客会向目标终端发送一份包含恶意链接的钓鱼邮件。终端收到钓鱼邮件之后,将引导用户用Safari浏览器打开包含恶意链接的邮件,并自动访问到黑客所控制的恶意站点。
此时,Safari浏览器会自动下载恶意站点中所存储的恶意压缩包并自动解压,从而导致压缩包里面的恶意App落地。
同时,系统会自动将App所支持的URL scheme进行注册,以此将URL scheme与其关联起来并自动引导Safari访问注册过的恶意URLscheme关联到恶意App。
其攻击过程分为三个关键点:
1、Safari浏览器——这是绝大多数Mac终端默认的浏览器,其具备“下载后打开‘安全的’文件”设置选项,一旦该选项开启浏览器则认为恶意压缩包是安全的从而导致解压落地。
2、恶意App——Mac上的App多为dmg格式。在其文件结构中,包含了应用到的二进制文件、资源,甚至各种脚本。
利用其中的pdc文件(类似一种配置文件),恶意App可以在文件中声明所要支持的URL scheme。
3、恶意站点——当用户收到包含恶意链接的邮件后,打开链接。映入眼帘的是正常的Google搜索页面,同时引导Safari自动下载恶意压缩包、注册到恶意URLscheme并显示伪装后的恶意App运行请求。
对于终端用户来说,整个攻击过程显得十分隐蔽。期间,用户只会收到一个被伪装成系统提示的恶意链接,一旦用户点击执行则会启动恶意程序执行。
MacOS检测与监控
除此之外,还有很多针对MacOS的攻击方式,每种对于Mac终端来说都面临着严峻的安全威胁。
那么,如何应对这样的安全威胁呢?
一个黑客完整的入侵途径中,可将其划分为初始记录、执行、提权、持久化、搜集取证等阶段,每个阶段都会有一些典型的攻击手法。其攻击手法及检测办法整理如下:
1、针对Mac使用虚假App欺骗用户下载执行——可以通过App签名校验与名称是否相符来确认App的真实性;
2、利用隐藏在App资源目录中的脚本执行恶意程序——通过监控进程,恶意脚本通常会被隐藏在需要被赋予执行权限的试探目录中,可以认为这是一个异常点。
3、利用微软宏执行的攻击行为——微软宏执行的攻击分为从系统模块导入、调用vb函数MacScript()和调用vba函数AppleScriptTask()三种方式,可通过调用其父子进程进行监测;
4、恶意程序持久化——基于Xprotect对程序路径、哈希、签名等进行检测,对类似/tmp/的隐藏文件加强关注;
5、恶意程序权限提升——直接依靠0day漏洞来提权的情况很少见,常见的提权方式有两种:一个是通过App的恶意升级程序来欺骗用户输入密码获得特权;其次是直接通过App冒充正常的应用。
当一个程序去请求Root认证的时候,最终会对应到一个进程。通过判断进程所在路径及其签名来判断。而对于调用到系统安全子进程的,可以通过监控该子进程所对应的命令行中是否包含认为恶意的脚本或者程序来加以确认。
6、针对Mac终端收集、窃取信息——常见的手段包含截屏、键盘记录、敏感信息窃取和扩散四种,针对不同窃取场景的使用特性设计检测截屏频率、执行、安装键盘监控程序等。
王朝飞称,构建基础的EDR通常会用到进程网络、进程关系、进程命令行和文件操作监控四类,这四类数据源可以覆盖ATT&CK中120种入侵攻击手段,监控概率接近80%。
“在基础监控的基础上,若要构建全面的EDR系统,则需收集更多的终端数据。”
推薦系統(tǒng)
雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。
系統(tǒng)等級(jí):進(jìn)入下載 >蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動(dòng),幫助用戶們進(jìn)行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。
系統(tǒng)等級(jí):進(jìn)入下載 >雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載
系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動(dòng),可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動(dòng)對(duì)硬件的加速,加固了系統(tǒng)安全策略,運(yùn)行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級(jí):進(jìn)入下載 >蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:Win10蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園
系統(tǒng)等級(jí):進(jìn)入下載 >蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園win10國(guó)內(nèi)鏡像版,基于國(guó)內(nèi)用戶的習(xí)慣,做
系統(tǒng)等級(jí):進(jìn)入下載 >windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載
系統(tǒng)大小:0MB系統(tǒng)類型:Win11蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動(dòng)對(duì)硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運(yùn)行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運(yùn)行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級(jí):進(jìn)入下載 >
相關(guān)文章
- 如何解決銳龍2200g死機(jī)藍(lán)屏
- Win8.1本地搜索為什么無法使用
- Win8.1無線網(wǎng)絡(luò)不穩(wěn)定/掉線怎么辦
- 電腦機(jī)箱漏電怎么消除?電腦機(jī)箱漏電是哪里的問題?
- 電腦開不了機(jī)怎么辦?電腦無法開機(jī)怎么解決?
- 硬盤雙擊無法打開的問題該怎么辦
- 風(fēng)行下載速度慢甚至是為0怎么辦?風(fēng)行播放器下載問題及解決方法匯總
- 蘋果回應(yīng)新的iOS惡意軟件YiSpector:已在iOS8.4中解決該問題
- 沒有路由器怎么連無線 160wifi 解決沒有路由器連接無線問題
- 維棠FLV下載視頻失敗問題匯總及解決方法
- Word2016 出現(xiàn)“此功能看似已中斷 并需要修復(fù)”問題解決方案(圖文)
- Cisco管理的35個(gè)常見問題及解答
- NanoStudio怎么用?NanoStudio使用方法及常見問題
- IE瀏覽器登錄網(wǎng)上銀行時(shí)出現(xiàn)崩潰問題的解決辦法
熱門系統(tǒng)
推薦軟件
推薦應(yīng)用
推薦游戲
熱門文章
常用系統(tǒng)
- 1win11最新娛樂版下載 技術(shù)員聯(lián)盟x64位 ghost系統(tǒng) ISO鏡像 v2023
- 2電腦公司windows7純凈版 ghost x64位 v2022.05 官網(wǎng)鏡像下載
- 3外星人系統(tǒng)Win11穩(wěn)定版系統(tǒng)下載 windows11 64位穩(wěn)定版Ghost V2022
- 4win11一鍵裝機(jī)小白版下載 外星人系統(tǒng) x64位純凈版下載 筆記本專用
- 5蘿卜家園Ghost win10 64位中文版專業(yè)版系統(tǒng)下載 windows10純凈專業(yè)版下載
- 6【國(guó)慶特別版】番茄花園Windows11高性能專業(yè)版ghost系統(tǒng) ISO鏡像下載
- 7青蘋果系統(tǒng) GHOST WIN7 SP1 X64 專業(yè)優(yōu)化版 V2024
- 8深度技術(shù)ghost win7純凈版最新下載 大神裝機(jī)版 ISO鏡像下載
- 9雨林木風(fēng)windows11中文版免激活 ghost鏡像 V2022.04下載