标签: macOS

有黑客组织利用 macOS 后门对越南地区 Mac 用户发起攻击

援引外媒报道,一支有国家背景的黑客组织正利用现有 macOS 后门对越南地区的 Mac 用户发起攻击。根据趋势科技近日发布的一份最新报告,这款升级版恶意软件能让攻击者访问受感染的 Mac,并监控和窃取敏感信息。 图 1-2. OceanLotus样本(上)和最新OceanLotus样本(下)的比较 图 3. 样本文件名、图标和app bundle结构 图 4. “.” 和 “doc”之间的特殊字符 图 5. 样本的代码签名信息 图 6. “ALL tim nha Chi Ngoc Canada” 文件内容 图 7. 执行文件后展示的文件 图 8. Plist文件 ~/Library/LaunchAgents/com.apple.marcoagent.voiceinstallerd.plist 图 9. 释放文件的时间戳 图 10. 加密的字符串 图 11-12. 解密方法 报告指出,该恶意软件以 ZIP 文件的形式进行传播,并伪装成 Word 文档,通过钓鱼电子邮件方式进行传播。目前,使用该恶意软件伪装的 ZIP 文件能够通过各种安全软件的检测。 一旦安装在计算机上,该恶意软件就会启动一系列有效负载,这些有效负载会更改访问权限并在系统上安装后门。该后门程序使攻击者可以侦听和下载用户文件,获取有关计算机的其他信息以及上载其他恶意软件。 趋势科技认为,该后门程序与一个名为 OceanLotus 或 APT32 的黑客组织有关,该组织被认为与越南政府有联系。 OceanLotus 以针对在越南工作的外国组织为目标而闻名,人们认为他们的目标是通过网络间谍活动来支持越南拥有的公司。 研究人员写道:“ OceanLotus等威胁组织正在积极更新恶意软件变种,以逃避检测并提高持久性”。由于该恶意软件似乎是为特定地理区域内的针对性间谍活动而设计的,因此它不太可能给大多数macOS用户带来很大的风险。         (稿源:cnBeta;封面来自网络)

Microsoft Defender 网络保护功能即将登陆 macOS 平台

Microsoft Defender Advanced Threat Protection 是微软提供的终端安全平台,可以帮助企业预防、检测、调查和应对高级威胁。微软近日确认,将把网络保护功能带到 MacOS 上(适用于 macOS ver 10.15.4 及更高版本)。 网络保护(Network Protection)有助于减少设备受到网络攻击事件的影响,它可以防止员工使用任何应用程序访问危险的域,这些域可能承载着互联网上的钓鱼诈骗、漏洞和其他恶意内容。网络保护扩大了 Microsoft Defender SmartScreen 的范围,可以阻止所有试图连接到低声誉来源(基于域或主机名)的出站HTTP(s)流量。 网络保护功能将于2020年12月登陆 macOS 平台。       (消息及封面来源:cnBeta)

Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用(即Travel Mate Pro)时检测到的,该应用会窃取联系人、电子邮件和文件,这些文件会被发送到在线命令和控制服务器,这个服务器也被另外两个针对Windows和macOS平台的恶意应用(Enigma和Titanium)也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码,它允许攻击者向,它们可以获取系统信息,搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件,并将它们上传到服务器,获取运行中的进程列表,窃听,截屏,任意执行shell命令,录音和扫描端口。 “总的来说,发现了超过10个版本的GravityRAT,被伪装成合法的应用程序进行分发,这些模块一起使用,使该集团能够进入Windows操作系统,MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序,这些应用程序通常是合法应用程序的克隆,它们会从C&C服务器上下载GravityRAT有效载荷,并在被感染的设备上添加一个预定任务以获得持久性。     (消息来源:cnbeta,封面来自网络)

Apple Mail 收集部分用户加密邮件,以文本形式存于数据库中

苹果专家 Bob Gendler 发现 Apple Mail 将一部分用户的加密电子邮件以纯文本形式保存在名为 snippets.db 的数据库中。这个问题影响到所有用户的macOS 版本,包括最新的Catalina。 该问题目前尚未解决。 专家在调查macOS和Siri如何向用户推荐联系人和信息时发现了此问题。 “如果你从Apple Mail发送电子邮件,其他人就有方法可以读取这些电子邮件的某些文本,就像未加密一样——苹果知道这个消息已经有数月之久,但一直没有修复。” The Verge在其发布的一篇文章中写道。 专家发现,如果使用Apple Mail发送和接收加密的电子邮件,Siri会收集文本内容并将这些信息存储在数据库中。 该文章称:“snippets.db 数据库目前完全是以未加密状态存储这些本应加密的电子邮件,哪怕是禁用Siri,或者没有私钥,这些邮件仍然是可读取的。大多数人会认为禁用Siri会停止 macOS 收集用户信息。” “对于使用加密电子邮件并希望其内容受到保护的政府,公司和普通人来说,这是一个大问题。” 但是禁用Siri无法解决该问题,因为“建议”的过程中系统将持续抓取电子邮件。 专家提出了以下三种方法来阻止从 Apple Mail 抓取消息: 1.手动单击设置,转到系统偏好设置→Siri→Siri建议和隐私→取消选中“Apple Mail”复选框。 2.在终端中运行以下命令以从Apple Mail中关闭Siri: defaults write com.apple.suggestions  SiriCanLearnFromAppBlacklist -array com.apple.mail 3.部署系统级别(适用于所有用户)的  配置文件  以关闭Siri,使其无法从Apple Mail中学习用户习惯。 第三种解决方案是永久性的,它将禁用 macOS 和Siri收集所有用户的邮件信息。专家解释说,将来的操作系统更新将会禁止Siri从Apple Mail抓取信息。 Gendler 还建议手动删除 snippets.db 在  “/Users/(username)/Library/Suggestions/”. 中的 snippets.db  文件。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型恶意软件 Tarmac 被发现针对 MacOS 用户

安全研究人员发现了一种新的Mac恶意软件,然而它的目的和功能目前仍然是一个谜。 这款恶意软件名为Tarmac(OSX / Tarmac),其通过在Mac用户的浏览器中运行恶意代码,将用户重定向到某个软件的更新页面——通常是Adobe的Flash Player。 在用户下载Flash Player更新的同时,其系统将会安装恶意软件二人组-首先是OSX / Shlayer恶意软件,然后是第一个启动的OSX / Tarmac。 自2019年1月开始传播 Confiant的安全研究人员Taha Karim表示,这次散播Shlayer + Tarmac组合的恶意活动始于今年1月。 Confiant 当时发布了一份有关2019年1月恶意广告活动的报告 ; 但是,他们只发现了Shlayer恶意软件,而没有发现Tarmac。 目前已经确定的Tarmac版本都比较旧,并且原始命令和控制服务器已关闭——或者已经被迁移。 Shlayer 会在受感染的主机上下载并安装 Tarmac。Tarmac 会收集有关受害者硬件设置的详细信息,并将此信息发送到其命令和控制服务器。 之后,Tarmac将等待新命令。但是由于服务器不可用,所以无法确定在这之后会发生什么。 从理论上讲,大多数恶意软件都非常强大,具有许多侵入性功能,Tarmac 也应该会造成巨大的威胁。但是目前一切都还只是谜。   主要受影响用户位于美国,意大利和日本 Karim 表示,分发 Shlayer 和 Tarmac 的恶意广告主要针对的是美国,意大利和日本的用户。 由于 Tarmac 的 payload 具有合法的 Apple 开发证书签名,因此 Gatekeeper 和 XProtect 不会在安装过程中报错或者中止。 如果用户想要查看自己的 Mac 系统是否受到此恶意软件感染,可以在Karim的Tarmac报告中寻找IoC。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

macOS 门禁功能爆出安全漏洞:可安装恶意程序

门禁(Gatekeeper)是macOS系统上的一项安全工具,旨在确保只有受信任的软件才能在 Mac 上运行。不过援引外媒报道,这款应用身份认证功能存在安全漏洞,可以用于传播名为“OSX/Linker”的恶意软件安装包。 当您安装来自 App Store 外部的 Mac 应用、插件和安装器软件时,macOS 会检查 Developer ID 签名和公证状态,以验证软件是不是来自获得认可的开发者并且没有遭到改动。通过 macOS Mojave,开发者还可以让 Apple 来公证他们的应用——这表明应用在分发前已经上传到 Apple 并通过了安全检查。 该漏洞由安全专家Filippo Cavallarin首先发现,主要利用了Mac的两项功能:automount和Gatekeeper。正如外媒Tom’s Guide报道,Gatekeeper会将从互联网上下载的文件汇集到苹果XProtect防病毒筛选程序进行审核,但是对于从本地存储设备(通过automount安装)授予文件安全通道,不经过详细审查。Cavallarin能够欺骗Gatekeeper认为下载的文件来自于本地磁盘,从而绕过正常的筛选协议。 Cavallarin表示已经于今年2月份向苹果方面反馈并于5月24日发布了详细信息,但是这个尚未得到修复解决。随附的OSX / Linker恶意软件会试图劫持Mac,从而让计算机从事任何恶意活动,包括加密货币挖掘和数据窃取。 该代码已上传四次到VirusTotal,后者是一个研究人员用于检测和共享恶意软件样本的存储库。目前攻击样本数据并不大,恶意软件已经被Intego软件和可能的其他防病毒工具筛选识别。因此如果用户选择拒绝来自未知来源的下载,相对容易能够避免OSX/Linker恶意软件。   (稿源:cnBeta,封面源自网络。)

macOS Catalina 应用将需要通过认证 否则会被 Gatekeeper 阻止

在北京时间今天凌晨的 WWDC 2019 主题演讲期间,苹果宣布了新版 macOS 操作系统的正式名称 —— Catalina 。作为一次重大的系统升级,其对应用开发者也提出了更高的要求。如果你想要打造支持 macOS Catalina 的应用程序,必须交由苹果进行一系列安全认证,否则会在默认情况下被阻止运行。 (题图 via Apple Insider) 据悉,这项新措施是现有的 Gatekeeper 流程的进一步延伸,开发者们可以按需提交他们的应用程序。 对于用户来说,此举可确保他们下载的软件源码与认证版本完全一致。苹果在开发者网站上写到: 使用开发者 ID 签名的 Mac 应用程序、安装包、内核扩展,都必须交由苹果进行安全认证,才能在 macOS Catalina 上运行”。 通过展示更精简的 Gatekeeper 页面,有助于用户更有信心地运行其下载的软件。无论其从何处获取,都能够确保不遇到恶意软件。 据悉,注册开发者可以向苹果发送自己打造的软件,系统会执行自动扫描,来检查是否存在恶意代码或其它潜在的安全问题。 需要指出的是,对于 App Store 内上架的应用程序,苹果早就在执行类似的安全检查流程。 其实在去年的开发者大会(WWDC 2018)上,苹果就已经宣布了 Notarized Apps,只是现在提出了更严格的强制性要求。 最后,WWDC 2019 上宣布的 macOS Catalina,其 beta 测试版本已经可被开发者访问。如果一切顺利,正式版本会在今年秋季到来。   (稿源:cnBeta,封面源自网络。)

macOS 被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。 Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。” Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。 视频:https://player.youku.com/embed/XNDE5Njg2ODU4NA== 但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。 Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。 目前苹果官方并未针对该漏洞做出回应。   (稿源:cnBeta,封面源自网络。)

macOS 被曝内核存在高危漏洞

谷歌 Project Zero 团队曝光了 macOS 内核中存在的一个写时复制高危漏洞。 macOS 的内核 XNU 在某些情况下允许写时复制(copy-on-write,COW)行为,COW 是一种本质上没有缺陷的资源管理技术,它有一个重要的作用是可以保护复制的内存以防后续通过源程序修改,避免源进程被利用双读。但是在 macOS 这里 COW 似乎出了问题。 研究人员表示,这种写时复制行为不仅适用于匿名内存,也适用于文件映射。这意味着,目标进程开始从转储存储区读取后,内存压力会导致保持转储内存的页面从页面缓存中被逐出。而被逐出的页面需要再次使用时,可以从后台文件系统重新加载。 macOS 允许普通用户挂载文件系统镜像,而如果修改用户已挂载文件系统镜像,该行为并不会被通知给虚拟管理子系统。也就是说攻击者可以在不发出通知的情况下改变磁盘文件虚拟管理子系统。 详细的概念验证可以查看: https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q= 谷歌的 Project Zero 团队以发现各个公司产品的安全漏洞而闻名,其成员在软件中找到安全漏洞,私下向制造商报告,并在公开披露之前给他们 90 天的时间来解决问题。据 neowin 网站介绍,此次关于 macOS 的这个漏洞,团队发现于 2018 年 11 月,但是 90 天内苹果公司并未作出回应,于是研究人员将其公开。目前苹果已经着手与 Project Zero 联合开发相应补丁。     (稿源:开源中国社区,封面源自网络。)

发现 macOS 钥匙串漏洞的 18 岁少年决定向苹果公布所有细节

在没有获得苹果任何报酬的情况下,Linus Henze还是决定向苹果公司提交有关在macOS钥匙串(Keychain)安全软件中发现的严重BUG。之前他选择隐藏该BUG细节,以抗议苹果为何不为macOS平台启动Bug Bounty悬赏活动,不过现在他认为这个问题实在是太严重了,决定不能自己私藏。 尽管苹果公司忽视了他之前提出的所有条件,2月初这位来自德国的18岁年轻人还是向苹果展示了钥匙串安全漏洞的全部细节。Henze表示他已经决定向苹果公司透露所有细节,因为他发现这个错误非常关键,并表示因为macOS用户的安全对于他来说非常重要。 在2月上旬公布的演示中,别有用心的攻击者可以在没有管理员权限(或管理员密码)的情况下,利用该漏洞收集Mac设备上的所有敏感数据。此前在接受《福布斯》采访表示,查找漏洞费心费力,向研究者支付酬劳是天经地义的,因为我们在帮助苹果公司的产品变得更加安全。 据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。2月5日,他在发给苹果的一封电子邮件中表示:“如果苹果官方向我讲述为何苹果并不希望为macOS创建BUG Bounty计划的原因,我愿意立即向你提交完整的详细信息,包括补丁。” 2月8日,他再次向苹果发送电子邮件,重新陈述自己的情况,但似乎没有回应。     (稿源:cnBeta,封面源自网络。)