本帖最后由 julianchen 于 2017-7-21 11:43 编辑 引言:请采用这些步骤来保护你的Mac系统,以免被最近发现的恶意软件--Xagent所感染。
针对近期的macOS安全漏洞,研究人员们发现了一种能够四处传播并感染电脑的新型恶意软件,它被称为Xagent。是的,你没看错:Macs对此恶意软件也无法幸免。
Xagent已被查明能够记录各种击键、窃取密码、屏幕截图。而最致命的是:它检测iOS备份的存在性,以便将来可以用来泄漏出那些存储在该备份中的各种敏感信息,进而进一步威胁到那些存储在iPhone和iPad里的个人数据。
该软件被认为是出自APT28(俄罗斯威胁组织)的手法。根据CNET资深记者的Shara Tibken(CNET是TechRepublic的姐妹站点)介绍:“那些曾经攻击过美国民主党全国委员会的俄罗斯黑客现在已经将注意力转向了苹果的Macintosh电脑”。
Intego(专注于苹果产品安全的公司)的Bitdefender实验室对Xagent进行了全面的分析研究。同时Palo Alto Networks(帕洛阿尔托网络安全公司)也揭露了该恶意软件是如何工作的。根据到目前为止的各种发现,安全研究人员将进行进一步的调查研究。
然而,在笔者撰写本文时,与该恶意软件的感染方法和后期功能所相关的各种细节还尚未确认。因此,如下有关保持安全性的各种建议是基于行业的最佳实践和已知的恶意软件开发特点所得出的。其旨在最大限度的减少被Xagent所感染的可能性。
别让电子邮件和PDF附件使你的安全防护失效
对该恶意软件的感染载体的说法,来自于2016年9月被发现的一个叫做Komplex的木马程序,它曾经通过将电子邮件和包含有恶意代码的PDF附件的组合发送给特定目标(又称为:鱼叉式网络钓鱼)的方式去感染Macs,并且诱使被感染的系统去打开该PDF文件。
虽然这是对于许多木马感染的一种常见“套路”,但是,尤为重要的是:要让用户在日常行为中具有安全的上网习惯,和不去点开或预览来自陌生人的邮件,以及在任何情况下你都不要点击打开来自陌生人邮件里的附件。
只安装来自被授权开发人员的软件
虽然电脑可以被理解为使得我们的生活更加容易与方便,但是运行在它们上面的软件需要频繁接地触很多潜在的敏感数据,这就无形中成为了攻击者及其设计出的威胁手段的目标。为了将这种风险降到最低,苹果公司多年来实施了一些技术手段。例如Gatekeeper(看门人)和System Integrity Protection (系统完整性保护,SIP),可以实现仅允许持有已验证签名的被授权了的软件开发人员,才能够有权力在macOS上安装他们的应用程序,实现阻止恶意软件的运行,进而保护系统的目录不被流氓软件进行未授权地修改。
这些技术在默认情况下是开启的,但是也可以由管理员手动禁用掉。考虑到那些恶意软件是以木马形式所带来的威胁,在安装App Store(苹果商店)以外的软件时,通过设置Gatekeeper来识别开发人员的身份是一种安全的“小确幸”。不过要想更为安全的话,使用那些由App Store所允许了的软件才是最好的保护。
保持macOS和各个应用程序的持续更新
在过去的十年间,每一个版本的macOS都有为各种应用程序提供系统更新和补丁。然而,我发现仍然有不少用户运行在过时的操作系统和应用程序之上。在这种特殊的情况下,Xagent没有足够的文档来阐明那些被用来执行其命令的具体开发细节的表述。然而,Komplex已被广泛认为与使用Xagent来感染的载体有关,而且Komplex被认为是使用开发工具来感染各个主机的。因此,让你的操作系统和应用程序保持为最新状态,就能够对那些“公共漏洞和暴露”(common vulnerabilities and exposures,CVE)提供最大的保护。
监控防火墙的日志
苹果产品的内置防火墙虽然总比没有要好些,但它缺乏通知,且要求用户必须手工梳理控制台的日志,从而判定他们的Mac是否已经被感染、或者是否正在试图与任何数量域中的命令与控制(C&C)服务器进行着通信。这些服务器中的大多数与苹果公司掌控的主机出奇地相似,以至于可迷惑用户去认为其通信是合法化的。
另一种解决方案是依靠于第三方的防火墙应用程序,这种方案通常有着更为健壮的网络监控能力,并提供细粒度的控制。其具体包括对网络输入和输出的检测和报告,从而以助于判定你的Mac是否正在以“电话回拨”的方式,从一台远处的“流氓”服务器上接受命令。
当前Xagent所使用的一些已知的命令与控制域有如下:
23.227.196[.]215
apple-iclods[.]org
apple-checker[.]org
apple-uptoday[.]org
apple-search[.]info
安装反恶意软件类型的软件
一些主流的安全领域的公司都能提供对各种病毒类型的保护。他们中包含有对Xagent的防护、对电子邮件附件的扫描支持、以及验证安全的URLs(统一资源定位符)和对勒索软件适当防护的一些已知的免费应用程序。
保护你的iOS备份
默认情况下,iOS将所有的用户数据都备份到你的电脑上,并使你在必要的时候能够进行数据的恢复。随着智能手机和平板电脑使用数量的上升,以及把敏感且隐私数据存储到这些设备之上的依赖性的不断增加,苹果公司已经能允许其用户选择性的加密他们的备份,从而增加了对他们的硬盘上的数据在另一个层面上的保护。
虽然加密你的iOS备份,不一定能阻止到任何人进行复制以及那些“数码窃贼”直接从你那台被黑掉的电脑上取走,但是它能阻止他们去访问备份的内容。这是因为加密能够有效地扰乱真实内容,使得在没有正确密码进行解密的情况下,被截获的数据将毫无用处。
另外,如果你是用密码来保护你的iOS备份(实际上你应该这么做)的话,那么请不要因为选择了一个易猜、易破解的密码,而毁掉了整个加密保护机制。你应该选择使用了多个密钥空间的,且位数较长的复杂性密码。而且该密码应该在你所使用的所有其他密码中具有唯一性。不要将你的这个密码以纯文本的形式存储在你的电脑、手机、和/或以便签的形式贴在你的书桌上。记住:不要将你的密码透露给任何人,如果可能的话,请运用一个加密的密码管理器来存储密钥,以增加安全性。
如果你想手动检查你的Mac是否已被Xagent所感染和破坏的话,你可以进入下面的目录路径,并验证这些文件是否存在:
/Users/$USER/Library/LaunchAgents/com.apple.updates.plist
/Users/Shared/.local/kextd
如果它们的确是在那儿的话,那将是会一个“很好”指标来表明你的电脑已经被感染。你应该立即永久地删除这些文件,并使用杀毒扫描软件来进行一次完整的系统扫描,从而发现并删除掉任何驻留在系统中的威胁。
【原标题】How to minimizeinfection from Xagent, the latest malware threat to OS X (作者: Jesus Vigo)
原文链接:http://www.techrepublic.com/article/how-to-minimize-infection-from-xagent-the-latest-malware-threat-to-os-x/
