針對Mac的惡意程式Silver Sparrow已在全球超過29,000 Mac設備中找到,如何避免以Mac為對象的惡意程式攻擊已是企業資安刻不容緩的議題。由IDC評選為全球Apple設備管理的領導者Jamf,第一時間協助企業從Intel及M1設備中刪除Silver Sparrow。Mac專用的端點保護軟體Jamf Protect 更啟動防護機制,讓企業內的Mac都不會有機會遭受到此惡意程式的攻擊。
現在,識別新的惡意程式已成為全球資安研究團隊的功課。但很少有人花時間尋找Mac專用的惡意軟件,更不用說隨著威脅框架的發展進行對應的防護
當Jamf深入研究該惡意程式時,可以看到目前為止Mac惡意程式不常見的一些現象:
- 程序包(PKG或DMG文件)利用安裝前/後腳本向創建者報告感染情況並實現持久性。
- 這些腳本利用system.run命令動態構建兩個以惡意為意圖的JavaScript文件。使防毒程式構建特徵更加困難。
- JavaScript文件分別通過PlistBuddy報告命令和控制(C2)信標的安裝和設置持久性。
- C2信標過程會嘗試檢索惡意程式的攻擊命令。但到目前為止,還沒有任何攻擊命令被發現。。
- 惡意程式中含有一個尚無法得知如何執行的的二進制
- 文件。它將打開一個窗口,顯示消息“ Hello,World”或“ You done it”。
針對M1的攻擊並不意外。從理論上講,任何可以攻擊Mac的惡意程式都可以編譯為直接在M1設備上運行。除非M1的特定功能阻止了該攻擊,否則該惡意程式將運行良好。而多虧了Rosetta,甚至Intel目標版本的Mac惡意程式也可以在M1設備上運行。
惡意程式作者看到了與其他開發人員為M1重建軟體的相同好處:更好的性能和更低的設備影響。
這樣的惡意程式框架已經在Windows上發現了很多年,但是在Mac上卻更加稀疏。通常,稱它們為殭屍網絡。這類攻擊活動的開始速度往往很慢,會悄悄地散佈在許多設備上,直到攻擊者通過部署特定功能將其啟動為止。這看起來像是主要Mac殭屍網絡的早期。現在識別和打擊它比將其啟動後試圖將其分解要容易得多。
值得一提的是,這個惡意程式為接下來的攻擊行為奠定了基礎,好險現在看到的都仍是不具惡意操作的攻擊行為,而且Jamf知道如何找到它並移除它。這看起來確實是為了針對Mac發起更大的惡意程式攻擊的起頭。
當然,Jalf Protect可以為您提供幫助,並已經通過威脅防護功能阻止了程式執行,還阻止shell命令中的信標活動來提醒C2服務器檢索新的工作負載。
當了解有關該惡意軟件的更多信息時,將即時更新。如果是Jamf Protect客戶,確保已啟用“威脅防禦”功能,就可讓設備免受此類攻擊和類似攻擊的侵害。