去年锁定苹果电脑的攻击行动有显著增加的现象,过往这些针对macOS作业系统而来的攻击事故,骇客大多会试图绕过内建的Gatekeeper、XProtect等防护机制,但如今出现更为隐密的手法,使得防毒软体更难察觉有异。
资安业者Check Point揭露窃资软体Banshee的攻击行动,就是这样的例子。这次引起研究人员注意的地方,就是此恶意软体盗用来自XProtect的演算法,而能左右防毒软体的分析结果。
【攻击与威胁】
为了回避侦测让恶意程式能顺利执行,骇客试图绕过防毒软体侦测的手段不时传出,其中又以针对Windows作业系统的攻击行动里较为常见,但苹果电脑的用户也不能掉以轻心,因为有人已试图突破相关防护机制,而能成功暗中从事攻击行动。
资安业者Check Point指出,他们自去年9月发现窃资软体Banshee新版的活动,并指出骇客将其用于攻击行动两个月,非法使用macOS内建防毒引擎XProtect的字串加密演算法,而有可能导致大部分的防毒软体将其视为无害而放行。有别于骇客过往是专门针对XProtect下手,导致这种防毒措施无法识别恶意软体,甚至连第三方防毒也难以察觉异状,这次骇客却是疑为利用XProtect的相关机制来干扰防毒软体侦测,使得威胁变得更难被发现。
值得留意的是,研究人员察觉骇客的攻击手法变化,竟是因为骇客论坛XSS流出该窃资软体的初始版本原始码,才导致这种窃资软体的攻击行动曝光。
【漏洞与修补】
【资安产业动态】
过去PyPI管理员在处理恶意软体报告时,主要的应对手段是直接从资料库中删除整个专案。虽然这个方法能够有效解决问题,但却具有不可逆性,也可能影响到依赖该专案的其他合法使用者。此外,从接获通报到实际移除专案之间存在时间差,也让其他使用者暴露在风险之中。
专案隔离机制提供更弹性且即时的应对方案。当专案被标记为隔离后,便会从PyPI的Simple API中移除,开发者便无法透过pip正常安装,而且专案拥有者也将无法修改专案内容。借此阻断恶意软体的扩散途径。更重要的是,这种隔离状态可逆,一旦管理员审查确认专案无害后,即可解除隔离,恢复其正常状态。