一次针对Mac终端的入侵
某次实战攻防演习期间,攻击队伪装成目标单位IT团队,向部分员工投递了一封钓鱼邮件。
邮件内容大致如下:近日公司监测到Safari浏览器被曝出存在高危漏洞,请使用该浏览器的员工及时安装补丁包,安装教程和补丁包参见附件。
在所谓安装教程指引下,恶意附件成功在中招员工的电脑上执行,使攻击队得以接管电脑控制权限,实现对办公网的入侵。
变化的Mac终端安全性
长期以来,发生在Mac终端上的网络攻击并不多见。在所有用户中,不乏大量对其安全性的忠实拥护者。
相较于Windows终端,Mac终端具备更严格的信任和授权机制。其自带的Gatekeeper、系统完整性保护(SIP )等安全机制,能够确保可信软件来源、保护系统的某些关键部分免受未授权的修改,并阻止可疑进程。比如:
不断暴露的攻击面
而且由于机制原因,用户在安装、运行某些软件时,会选择允许任何来源文件执行,这在一定程度上增加了恶意软件入侵的风险。
根据微步长期以来对针对Mac终端网络攻击的跟踪,目前攻击手法主要包括以下三种:
-
通过信息诱导和伪装,让用户主动下载恶意软件; -
通过邮件、IM等渠道进行社工钓鱼,向目标进行投递; -
通过0day漏洞、供应链投毒的形式,接管目标设备控制权限。
埃森哲2023年8月发布的数据显示,相比较 2019 年,针对 macOS 系统的网络攻击数量增加了 10 倍,其中大部分安全事件发生在过去 18 个月内。
三大模块为Mac终端保驾护航
为了应对这些挑战,微步于近日宣布,正式推出针对Mac用户的终端安全防护产品——OneSEC Mac版。OneSEC Mac版全面继承了Windows版的先进功能和强大性能,能够在极少占用系统资源的情况下,确保用户在Mac终端上享受到同样出色的安全保护。
-
文件检测与DNS防护:OneSEC Mac版具备多维度的智能检测技术,深度集成了46款国际权威云检测引擎、基于AI的OneAV引擎、百亿级别的恶意Hash样本,能够实时检测并拦截Mac pkg包、破解版Mac应用、双层文件名、伪装图片文件名、异常macho文件等各类伪装恶意软件;针对恶意文件的外连情形,OneSEC Mac版可结合高精准威胁情报,实时监测DNS解析过程,阻断恶意软件反连C2服务器。 -
终端行为采集与威胁检测:OneSEC Mac版能够全量采集终端行为数据,包括文件行为事件、进程行为事件、网络行为事件等,结合威胁情报IoC、攻击行为IoA,运用图关联检测技术可从多个维度交叉检测、综合评判,全面、精准发现无文件攻击、域前置等各类高级、隐蔽性攻击手法。 -
事件响应与处置:OneSEC Mac版能够精准定位进程源头、执行源头、事件源头,全面追溯攻击路径,并在此基础上提供快速的处置和清除能力,包括文件隔离、进程隔离和网络隔离等手段,可对常见威胁下发自动化响应策略;对于较为复杂的攻击链,可结合MEDR托管服务给出综合处置建议 。
网安人不容错过的年度盛会——CSOP 2024 · 深圳站将于5/16开幕,扫码立即报名↓↓↓
原文始发于微信公众号(微步在线):办公用Mac到底安全不安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论