某次实战攻防演习期间，攻击队伪装成目标单位IT团队，向部分员工投递了一封钓鱼邮件。

邮件内容大致如下：近日公司监测到Safari浏览器被曝出存在高危漏洞，请使用该浏览器的员工及时安装补丁包，安装教程和补丁包参见附件。

在所谓安装教程指引下，恶意附件成功在中招员工的电脑上执行，使攻击队得以接管电脑控制权限，实现对办公网的入侵。

长期以来，发生在Mac终端上的网络攻击并不多见。在所有用户中，不乏大量对其安全性的忠实拥护者。

相较于Windows终端，Mac终端具备更严格的信任和授权机制。其自带的Gatekeeper、系统完整性保护（SIP ）等安全机制，能够确保可信软件来源、保护系统的某些关键部分免受未授权的修改，并阻止可疑进程。比如：

不断暴露的攻击面

而且由于机制原因，用户在安装、运行某些软件时，会选择允许任何来源文件执行，这在一定程度上增加了恶意软件入侵的风险。

根据微步长期以来对针对Mac终端网络攻击的跟踪，目前攻击手法主要包括以下三种：

• 通过信息诱导和伪装，让用户主动下载恶意软件；
• 通过邮件、IM等渠道进行社工钓鱼，向目标进行投递；
• 通过0day漏洞、供应链投毒的形式，接管目标设备控制权限。

埃森哲2023年8月发布的数据显示，相比较 2019 年，针对 macOS 系统的网络攻击数量增加了 10 倍，其中大部分安全事件发生在过去 18 个月内。

为了应对这些挑战，微步于近日宣布，正式推出针对Mac用户的终端安全防护产品——OneSEC Mac版。OneSEC Mac版全面继承了Windows版的先进功能和强大性能，能够在极少占用系统资源的情况下，确保用户在Mac终端上享受到同样出色的安全保护。

1. 文件检测与DNS防护：OneSEC Mac版具备多维度的智能检测技术，深度集成了46款国际权威云检测引擎、基于AI的OneAV引擎、百亿级别的恶意Hash样本，能够实时检测并拦截Mac pkg包、破解版Mac应用、双层文件名、伪装图片文件名、异常macho文件等各类伪装恶意软件；针对恶意文件的外连情形，OneSEC Mac版可结合高精准威胁情报，实时监测DNS解析过程，阻断恶意软件反连C2服务器。
2. 终端行为采集与威胁检测：OneSEC Mac版能够全量采集终端行为数据，包括文件行为事件、进程行为事件、网络行为事件等，结合威胁情报IoC、攻击行为IoA，运用图关联检测技术可从多个维度交叉检测、综合评判，全面、精准发现无文件攻击、域前置等各类高级、隐蔽性攻击手法。

3. 事件响应与处置：OneSEC Mac版能够精准定位进程源头、执行源头、事件源头，全面追溯攻击路径，并在此基础上提供快速的处置和清除能力，包括文件隔离、进程隔离和网络隔离等手段，可对常见威胁下发自动化响应策略；对于较为复杂的攻击链，可结合MEDR托管服务给出综合处置建议 。

网安人不容错过的年度盛会——CSOP 2024 · 深圳站将于5/16开幕，扫码立即报名↓↓↓

原文始发于微信公众号（微步在线）：办公用Mac到底安全不安全