在超过 10 年的长长一段时间里,Mac 用户对自己的安全总是信心满满,事实上他们也确实有理由这样自信。一方面苹果对系统的控制力让它旗下的电脑系统的确有更高的安全性,另一方面 Mac 电脑的市场份额也相对 Windows 低得多,黑客们不愿意“费力不讨好”。这份自信,在一段时期里是没有太大问题的。
然而事实是随着 Mac 电脑在市场中的份额开始逐渐增加,黑客们开始关注,Mac 系统的薄弱之处就和其他的电脑设备一样,渐渐显露了出来。即使竞争对手可能在安全性上更差一些,但只要在足够有效的攻击手段的配合使用下,macOS 并不能保证自己金身不坏。
根据卡巴斯基实验室过去公开的一份数据,从 2003 年 OS X 上第一个恶意软件被发现开始,和它有关的攻击数量就开始不断上升。从 2010 年到 2014 年,以 OS X 系统为目标的恶意软件数量的增幅就达到了惊人的 3600%。所以我们认为 Mac 系统非常安全还是一种习惯性的想法,从现在开始就必须多加留心了。
事实上罗马尼亚的杀毒软件公司 Bitdefender 不久前发布警告,称一种针对 macOS 的新形式恶意软件已经出现。它隐蔽性强,而且危险程度高,能够窃取你 Mac 中甚至是相关的 iOS 设备的信息。因此,我们有必要去了解这种新的恶意软件。
Bitdefender 认为这种恶意软件的开发者是近来相当活跃的俄罗斯网络组织 APT28,或称 Fancy Bear。究其原因,是因为它是建立在间谍软件 Xagent 之上的,就和 APT28 的其他恶意软件一样。APT28 技术力强大,近些年一直针对军事机构和情报部门,据说美国**活动以及世界反兴奋剂机构的信息泄露都是他们的“杰作”。近来该组织已经将目光转向苹果设备,他们能够带来的威胁是巨大的。
据了解,这种新的恶意软件会通过 macOS 木马 Komplex 的下载器感染设备,充当后门。Komplex 同样是一种恶意软件,它驻留在 macOS 系统中,通过下载和执行其他的恶意程序来达到窃取信息的目的。Komplex 一般来说会通过鱼叉式网络钓鱼,或是诱导执行被感染的 DMG 文件这两种手段,安装在系统中。
当安装完成后,后门程序会检查是否有调试器连接到进程中。如果是,那么它就会阻止其自我执行。反之,它就会等待网络连接,然后与其 C&C 命令与控制服务器建立联系。联系建立完成后,模块后门开始运行。系统无法侦测到异样,因为 C&C 服务器伪装成了苹果的官方服务器。连接完成后,两个通信线程开始无限循环运行,其中使用 POST 请求像 C&C 服务器发送信息,而另一个则监控 GET 请求获取指令。
在这之后,Komplex 就能够监控被感染设备上的一切,还可以下载模块获取密钥和各种密码,查看活跃进程的名单,甚至能够截图。更严重的是,攻击者还能够凭借恶意软件拷贝存在 Mac 上的 iPhone 备份。这一切,Mac 电脑的用户都不会察觉到。
从被感染的结果我们就可以看出这个新的恶意软件确实相当厉害,一旦对方得手,大量储存在 Mac 电脑里的敏感信息就将被泄露出去,甚至还包括那些和这台电脑有联系的 iOS 设备。
不过要防止攻击者得手也没有想象中复杂,那就是绝不去下载和运行那些不是来自 App Store,或是来源你完全不熟悉的程序。通过上面的介绍,我们知道 Komplex 下载器要感染 macOS 需要你去执行被感染的 DMG 文件。只要在安装些什么东西的时候多留个心眼,攻击者失败的可能性就会大幅增加。
另外还有一点,那就是要有鉴别网络钓鱼的意识。即使邮件、信息这些东西看上去就像是来自官方的一样,那也得经过仔细的确认。
就目前来说,对于这个恶意软件并没有一个有效的查杀办法,但即使是有,最稳妥的当然还是靠用户自己的安全意识。只有这样,恶意软件才能彻底远离你的 Mac,连进入的机会都没有。
不过话又说回来,APT28 这个组织主要针对的是那些高级的机构,所以这也让外界怀疑他们存在着官方背景,因此作为普通人的我们在这个层面上说也不需要草木皆兵,毕竟作者们的假想敌级别高得很。事实上,去年人们发现 Komplex 当时的木马样本主要是针对航空航天工业的。当然了,我们还是得又防范意识,毕竟有恶意软件那就说明漏洞是真实存在的。
2016 年 3 月 4 日,Palo Alto Networks 的研究者发现了一种被名为 KeRanger 的恶意软件,后者被定义为“勒索软件”。它在远程 C&C 服务器上创建一个密钥对证书,利用公钥来加密用户 Mac 上的数据。加密完成之后,攻击者会通过通知提示用户其数据已经无法访问,除非支付给他比特币。用户妥协之后,攻击者会让他下载私钥,才能够将数据解密。事实上 KeRanger 已经是不到两年针对 Mac 的第二次勒索软件攻击了(第一次是 FileCoder,但功能性并不强),安全专家们担忧 KeRanger 作为 Mac 平台上的勒索软件的发展成熟,会导致后续更多类似软件的诞生。
勒索软件只是一方面,木马程序作为传送这些攻击手段的渠道,同样是一个主要威胁。很多时候那些“零日漏洞”通过被感染的网站传播出去,甚至于正规的网站都有可能会成为木马扩散的“帮凶”。
另外值得一提的还有后门这样的恶意软件,它可以让你的设备遭到远程控制,让攻击者控制你的电脑,甚至用它来作为网络攻击的一部分。当然金钱损失的可能性更大,银行账户的相关细节或是信用卡的信息都能被攻击者获知。即便情况不至于如此,社交网络账号被泄露出去还是会造成很大的损失。