Mac不會中毒?或許你不該這麼自信滿滿了,強大macOS惡意軟體現身


一直以來,Mac用戶都相當得意於「電腦不易中毒」這件事。其實這份自信是有理由的,一來是 macOS 系統限制的關係,一般惡意軟體不易在使用者不知情的情況下運行,一但有軟體需要取得電腦的權限,使用者都必須要在跳出來的視窗下確認才行。比較擔心的是使用者自己到處下載軟體,並且看都不看就胡亂允許各種軟體權限。

第二點是,macOS 在市場上的佔比相較於 PC 還是遠低得多,因此大部分駭客不願意開發 mac 病毒這種吃力不討好的工作。這兩個原因就是為何 Mac 一直以來較 Windows 安全的主要原因。

但隨著 Mac 在市場上的銷量逐漸增加,駭客們也開始關注了。即使競爭對手可能在安全性上更差一些,但只要在足夠有效的攻擊手段的配合使用下,macOS並不能保證自己是絕對安全的。根據卡巴斯基公布的一份數據,從 2003 年 OS X 上第一個惡意軟體被發現後,和它有關的攻擊數量就不斷攀升。從 2010 到 2014 年之間,以 OS X 為目標的惡意軟體數量就攀升了 3,600%。因此 Mac 用戶們不要再習慣於「蘋果電腦不會中毒」的想法,而是該開始提高警覺了。

新的威脅出現

事實上,羅馬尼亞的防毒軟體公司 Bitdefender 不久前就發布警告,稱一種針對macOS的新形式病毒已經出現。它隱蔽性強,而且危險程度高,能夠竊取你Mac中甚至是相關的iOS設備的信息。Bitdefender 認為這種病毒的開發者是近來相當活躍的俄羅斯網絡組織 APT28,或稱Fancy Bear。究其原因,是因為它是建立在間諜軟件Xagent之上的,就和APT28的其他惡意軟件一樣。

APT28技術力強大,近些年一直針對軍事機構和情報部門,近來該組織已經將目光轉向蘋果設備,帶來的威脅不可不慎。

據了解,這種新的病毒會通過 macOS 木馬 Komplex 的下載器感染設備,作為後門。Komplex 同樣是一種惡意軟體,它駐留在macOS 系統中,通過下載和執行其他的惡意程序來達到竊取信息的目的。Komplex一般來說會通過魚叉式網絡釣魚,或是誘導執行被感染的DMG文件這兩種手段,安裝在系統中。

當安裝完成後,後門程序會檢查是否有調試器連接到進程中。如果是,那麼它就會阻止其自我執行。反之,它就會等待網絡連接,然後與其C&C命令與控制服務器建立聯繫。聯繫建立完成後,模塊後門開始運行。系統無法偵測到異樣,因為C&C服務器偽裝成了蘋果的官方服務器。連接完成後,兩個通信線程開始無限循環運行,其中使用POST請求像C&C服務器發送信息,而另一個則監控GET請求獲取指令。

在這之後,Komplex就能夠監控被感染設備上的一切,還可以下載模塊獲取密鑰和各種密碼,查看活躍進程的名單,甚至能夠截圖。更嚴重的是,攻擊者還能夠憑藉惡意軟件拷貝存在Mac上的iPhone備份。這一切,Mac電腦的用戶都不會察覺到。

那麼,該怎麼辦?

從被感染的結果我們就可以看出這個新的惡意軟件確實相當厲害,一旦對方得手,大量儲存在Mac電腦裡的敏感信息就將被洩露出去,甚至還包括那些和這台電腦有聯繫的iOS設備。

但要防止攻擊的手段也沒想像中複雜,如前面所說,macOS 系統限制的關係,病毒要進入電腦內是有一點門檻的。由於 Komplex 下載器需要你執行被”加料”的 dmg 檔案才能執行成功,因此只要不要下載來路不明的程式,確保你的所有程式都是來自於 App Store 以及已識別的開發者即可。事實上,macOS 預設的設定也是如此,你要下載來路不明的檔案還需要特別去系統偏好設定調整才行。

各位可以檢查一下,在「系統偏好設定」>「安全性與隱私」>「一般」裡頭,下方是否勾選了「App Store 和已識別的開發者」,若是,就無須太過擔心。

另外,也要能夠識別網路上各式各樣的釣魚網站。偽裝成中獎資訊的網頁、假的 Facebook 登入頁面等等,都記得檢查一下網址是否是正版的。

不過話又說回來,APT28這個組織主要針對的是那些高級的機構,所以這也讓外界懷疑他們存在著官方背景,因此作為普通人的我們在這個層面上說也不需要草木皆兵,畢竟作者們的假想敵級別高得很。事實上,去年人們發現Komplex當時的木馬樣本主要是針對航空工業的。當然了,我們還是得又防範意識,畢竟有惡意軟件那就說明漏洞是真實存在的。

威脅從未遠去

2016年3月4日,Palo Alto Networks的研究者發現了一種被名為KeRanger的惡意軟件,後者被定義為“勒索軟件”。它在遠程C&C服務器上創建一個密鑰對證書,利用公鑰來加密用戶Mac上的數據。加密完成之後,攻擊者會通過通知提示用戶其數據已經無法訪問,除非支付給他比特幣。用戶妥協之後,攻擊者會讓他下載私鑰,才能夠將數據解密。事實上KeRanger已經是不到兩年針對Mac的第二次勒索軟件攻擊了(第一次是FileCoder,但功能性並不強),安全專家們擔憂KeRanger作為Mac平台上的勒索軟件的發展成熟,會導致後續更多類似軟件的誕生。

勒索軟件只是一方面,木馬程序作為傳送這些攻擊手段的渠道,同樣是一個主要威脅。很多時候那些“零日漏洞”通過被感染的網站傳播出去,甚至於正規的網站都有可能會成為木馬擴散的“幫兇”。

另外值得一提的還有後門這樣的惡意軟件,它可以讓你的設備遭到遠程控制,讓攻擊者控制你的電腦,甚至用它來作為網絡攻擊的一部分。當然金錢損失的可能性更大,銀行賬戶的相關細節或是信用卡的信息都能被攻擊者獲知。即便情況不至於如此,社交網絡賬號被洩露出去還是會造成很大的損失。