第一時間保護Mac 免於Silver Sparrow的攻擊
針對Mac的惡意程式Silver Sparrow已在全球超過29,000 Mac 設備中找到,如何避免以 Mac為對象的惡意程式攻擊已是企業資安刻不容緩的議題。由IDC評選為全球Apple設備管理的領導者Jamf,第一時間協助企業從Intel及M1設備中刪除Silver Sparrow。Mac專用的端點保護軟體Jamf Protect 更啟動防護機制,讓企業內的Mac 都不會有機會遭受到此惡意程式的攻擊。
Mac攻擊活動的初期
現在,識別新的惡意程式已成為全球資安研究團隊的功課。但很少有人花時間尋找Mac專用的惡意軟件,更不用說隨著威脅框架的發展進行對應的防護
到目前為止對「銀雀」Mac惡意程式的觀察
當我們深入研究該惡意程式時,我們可以看到目前為止Mac惡意程式不常見的一些現象:
· 程序包(PKG或DMG文件)利用安裝前/後腳本向創建者報告感染情況並實現持久性。
· 這些腳本利用system.run命令動態構建兩個以惡意為意圖的JavaScript文件。使防毒程式構建特徵更加困難。
· JavaScript文件分別通過PlistBuddy報告命令和控制(C2)信標的安裝和設置持久性。
· C2信標過程會嘗試檢索惡意程式的攻擊命令。但到目前為止,還沒有任何攻擊命令被發現。。
· 惡意程式中含有一個尚無法得知如何執行的的二進制
文件。它將打開一個窗口,顯示消息“ Hello,World”或“ You done it”。
預期針對M1的Mac攻擊
針對M1的攻擊並不意外。從理論上講,任何可以攻擊Mac的惡意程式都可以編譯為直接在M1設備上運行。除非M1的特定功能阻止了該攻擊,否則該惡意程式將運行良好。而多虧了Rosetta,甚至Intel目標版本的Mac惡意程式也可以在M1設備上運行。
惡意程式作者看到了與其他開發人員為M1重建軟體的相同好處:更好的性能和更低的設備影響。。
類似於殭屍網絡
這樣的惡意程式框架已經在Windows上發現了很多年,但是在Mac上卻更加稀疏。通常,我們稱它們為殭屍網絡。這類攻擊活動的開始速度往往很慢,會悄悄地散佈在許多設備上,直到攻擊者通過部署特定功能將其啟動為止。這看起來像是主要Mac殭屍網絡的早期。現在識別和打擊它比將其啟動後試圖將其分解要容易得多。
問題歸結為:我們如何識別和防止這些攻擊?
值得一提的是,這個惡意程式為接下來的攻擊行為奠定了基礎,好險現在看到的都仍是不具惡意操作的攻擊行為,而且我們知道如何找到它並移除它。這看起來確實是為了針對Mac發起更大的惡意程式攻擊的起頭。
Jamf Protect可以提供幫助
當然,Jalf Protect可以為您提供幫助。我們已經通過威脅防護功能阻止了程式執行。我們還阻止shell命令中的信標活動來提醒C2服務器檢索新的工作負載。
當我們了解有關該惡意軟件的更多信息時,我們將即時更新。如果是Jamf Protect客戶,確保已啟用“威脅防禦”功能,就可讓設備免受此類攻擊和類似攻擊的侵害。
關於Jamf
Jamf是Apple Enterprise Management的標準,通過其軟件和僅專注於Apple的全球最大的IT管理員在線社區Jamf Nation,將人們喜歡的傳奇Apple體驗擴展到企業,學校和政府組織。要了解更多信息,請訪問:www.jamf.com。
熱門新聞
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
