聚焦源代码安全,网罗国内外最新资讯!
作者:Lindsey O'Donnell
编译:奇安信代码卫士团队
目前担任Jamf 公司首席安全研究员的Patrick Wardle 在2020年RSA 大会上表示,APT 组织正在通过逆向后重部署的恶意软件攻击苹果设备,因而使得攻击归因变得越发复杂。
Wardle 在大会上讲述了 Mac 相关的安全内容。他表示,“我了解了黑客或者竞争对手如何利用他人花费大量时间和精力创建的恶意软件,然后通常通过几个简单步骤后将其重新用于或回收、重配置为实施自己不可告人的目的的过程。”他认为这种技术为传统的基于签名的检测方法带来了挑战。
尽管存在这些威胁,但 Wardle 表示从安全角度而言,苹果公司在操作系统中增加了更多的恶意软件缓解或安全功能,其设备的安全性正在向“积极的”方向发展。如在 Mac 操作系统 MacOS Catalina 中,苹果公司引入了公证机制,在将软件部署或分发在 Mac 系统之前,苹果必须进行预扫描,从而使得苹果公司能够在用户之前了解它是否是恶意的。这样做的原因在于,此前大多数针对普通 Mac 用户的恶意软件或感染基本是基于社工的攻击,即用户被诱骗或威胁运行某些东西。但Wardle 表示已经有攻击者开始利用更高级的 exploit 和 0day 漏洞、更加复杂的攻击技术应对这些措施。但苹果公司采取的这些措施仍然提高了 Mac 的安全性。
提到最流行的手机恶意软件,Wardle 表示 iOS 是极其安全的设备,这意味着普通用户不会收到广告软件或计算机病毒的困扰。因此从整体上来说,iOS 设备的安全性是向好的。但问题在于这种状态构成了一种耐人寻味的潘多拉的盒子现象,因为设备的安全程度如此之高时,安全研究员或安全工具开发人员无法真正洞察真实设备的安全,无法了解 iPhone 设备上运行着哪些进程。但在 Mac 上,有很多种方法可以了解到所运行的进程是什么。因此资金充足的高级竞争对手或 APT 组织能够采购或找到 0day,而 Wardle 表示他们确实拥有这些武器。之后攻击者可以利用这些 0day 攻击甚至已完全修复的 iOS 设备。一旦成功感染这些设备后,一般没有办法了解到设备是否受感染或已被黑,因为设备变成了被锁定的安全黑盒子。因此对于高级竞争对手而言,他们可以利用设备的安全性来保护自己的 exploit 和恶意软件。Wardle 表示,目前尚未找到解决这一难题的方法。
不过 Wardle 表示对于普通的 iOS 用户而言,iOS 设备的安全性好处多多,而这也是为何我们很少见到苹果移动设备遭广告软件或任何恶意软件攻击案例的原因所在。
推荐阅读
RSAC | WiFi 芯片被曝高危漏洞,影响全球数十亿台设备
原文链接
https://threatpost.com/patrick-wardle-apple-devices-hit-with-recycled-macos-malware/153316/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~