一句“PHP是世界上最好的編程語言”可以成功惹毛一票程序員。同樣，隨口一句“Windows系統(tǒng)比Mac系統(tǒng)更安全（或反之）”也能讓IT安全人員吵個不可開交。

Windows誕生的頭10年該產(chǎn)品輕易坐穩(wěn)史上最好攻擊操作系統(tǒng)(OS)的寶座，成功攻擊的數(shù)量更讓公眾對Windows的安全性失去信任。相比之下，很多果粉則覺得MacOS基于蘋果的封閉系統(tǒng)環(huán)境理應比Windows系列更加安全。

在長達幾十年的用戶爭奪戰(zhàn)后，相關(guān)Windows和Mac的安全話題似乎已經(jīng)演變成了技術(shù)信仰問題。而隨著蘋果設(shè)備的大批量出貨，MacOS的安全神話也正被逐漸打破。

那么，如今的MacOS還像我們想象的那樣安全嗎？其如今又面臨著哪些安全威脅呢？在6月11日舉辦的TenSec 2019峰會上，騰訊mac安全專家王朝飛結(jié)合現(xiàn)階段研究成果進行了分享。

MacOS安全嗎？

截止2019Q1，Mac終端的市場占有率是6.82%，Windows卻高達93.2%。兩個數(shù)據(jù)作比對，不少人會覺得Mac終端的市場份額還是相對小眾的，但實際情況卻并非如此。

“在某些行業(yè)公司里，如互聯(lián)網(wǎng)公司、設(shè)計公司Mac所占比例遠高于此，且比例呈現(xiàn)不斷攀升的趨勢?！?/p>

王朝飛稱，在騰訊Mac設(shè)備已經(jīng)占據(jù)全部在用機型的25%，同樣的情況也存在于其他行業(yè)的公司。有時候，看似小眾的Mac產(chǎn)品安全性往往對于企業(yè)用戶來說至關(guān)重要。

Mac系統(tǒng)本身的安全性做得如何呢？自面世至今，MacOS引入了很多的安全機制，其中主流版本10.14主要有以下四大安全機制：

1、Gatekeeper—;—;對互聯(lián)網(wǎng)下載應用程序進行簽名校驗。

2、Xprotect—;—;對應用程序進行靜態(tài)特征檢測，包括字符串，哈希，壓入，規(guī)則匹配等，可理解成是MacOS自己集成的一個小的殺軟。

3、SIP—;—;又叫Rootless，主要是對系統(tǒng)運行進程、系統(tǒng)關(guān)鍵文件以及內(nèi)核擴展加載進行保護。

4、Sandbox—;—;對應用程序所能訪問的軟件資源、硬件資源和網(wǎng)絡(luò)資源等做限制。

上述四大安全機制可以保證應用程序從下載落地到終端執(zhí)行的安全。

然而，這并不能100%保證MacOS的安全。自MacOS面世至今，這四大安全機制已經(jīng)出現(xiàn)過無數(shù)漏洞并支持黑客進行PAAS或者DOS攻擊。

據(jù)統(tǒng)計，從2016到2017年，針對Mac平臺的惡意程序增長了270%。僅在2018年一年，增長速度達到165%。截至目前，MacOS的惡意程序量級已經(jīng)達到10萬級。其中，具有針對MacOS入侵能力的APT組織23個，木馬家族62個。

“可以說，MacOS上的高級持續(xù)性威脅其實是一直存在的。”

MacOS攻擊演示

在模擬攻擊案例中，王朝飛采用Remote Custom URL Scheme的攻擊手法，從黑客角度分享了對MacOS終端展開攻擊的全過程。

Custom URL Scheme可以被類比成Windows中不同的文件拓展對應不同的默認關(guān)聯(lián)程序。舉個例子，假如在瀏覽器中輸入http：//baidu.com，那么瀏覽器就會去解析這個域名。 如果一個Mac上的App聲稱它支持hXXp這種URL scheme格式，那么如果在瀏覽器中輸入hXXps.baidu.com那么系統(tǒng)就會自動去關(guān)聯(lián)這個App來解析URL scheme。

顧名思義，Remote Custom URL Scheme就是一種遠程利用的方式。

攻擊的第一步，通常黑客會向目標終端發(fā)送一份包含惡意鏈接的釣魚郵件。終端收到釣魚郵件之后，將引導用戶用Safari瀏覽器打開包含惡意鏈接的郵件，并自動訪問到黑客所控制的惡意站點。

此時，Safari瀏覽器會自動下載惡意站點中所存儲的惡意壓縮包并自動解壓，從而導致壓縮包里面的惡意App落地。

同時，系統(tǒng)會自動將App所支持的URL scheme進行注冊，以此將URL scheme與其關(guān)聯(lián)起來并自動引導Safari訪問注冊過的惡意URL scheme關(guān)聯(lián)到惡意App。

其攻擊過程分為三個關(guān)鍵點：

1、Safari瀏覽器—;—;這是絕大多數(shù)Mac終端默認的瀏覽器，其具備“下載后打開‘安全的’文件”設(shè)置選項，一旦該選項開啟瀏覽器則認為惡意壓縮包是安全的從而導致解壓落地。

2、惡意App—;—;Mac上的App多為dmg格式。在其文件結(jié)構(gòu)中，包含了應用到的二進制文件、資源，甚至各種腳本。

利用其中的pdc文件（類似一種配置文件），惡意App可以在文件中聲明所要支持的URL scheme。

3、惡意站點—;—;當用戶收到包含惡意鏈接的郵件后，打開鏈接。映入眼簾的是正常的Google搜索頁面，同時引導Safari自動下載惡意壓縮包、注冊到惡意URL scheme并顯示偽裝后的惡意App運行請求。

對于終端用戶來說，整個攻擊過程顯得十分隱蔽。期間，用戶只會收到一個被偽裝成系統(tǒng)提示的惡意鏈接，一旦用戶點擊執(zhí)行則會啟動惡意程序執(zhí)行。

MacOS檢測與監(jiān)控

除此之外，還有很多針對MacOS的攻擊方式，每種對于Mac終端來說都面臨著嚴峻的安全威脅。

那么，如何應對這樣的安全威脅呢？

一個黑客完整的入侵途徑中，可將其劃分為初始記錄、執(zhí)行、提權(quán)、持久化、搜集取證等階段，每個階段都會有一些典型的攻擊手法。其攻擊手法及檢測辦法整理如下：

1、針對Mac使用虛假App欺騙用戶下載執(zhí)行—;—;可以通過App簽名校驗與名稱是否相符來確認App的真實性；

2、利用隱藏在App資源目錄中的腳本執(zhí)行惡意程序—;—;通過監(jiān)控進程，惡意腳本通常會被隱藏在需要被賦予執(zhí)行權(quán)限的試探目錄中，可以認為這是一個異常點。

3、利用微軟宏執(zhí)行的攻擊行為—;—;微軟宏執(zhí)行的攻擊分為從系統(tǒng)模塊導入、調(diào)用vb函數(shù)MacScript()和調(diào)用vba函數(shù)AppleScriptTask()三種方式，可通過調(diào)用其父子進程進行監(jiān)測；

4、惡意程序持久化—;—;基于Xprotect對程序路徑、哈希、簽名等進行檢測，對類似/tmp/的隱藏文件加強關(guān)注；

5、惡意程序權(quán)限提升—;—;直接依靠0day漏洞來提權(quán)的情況很少見，常見的提權(quán)方式有兩種：一個是通過App的惡意升級程序來欺騙用戶輸入密碼獲得特權(quán)；其次是直接通過App冒充正常的應用。

當一個程序去請求Root認證的時候，最終會對應到一個進程。通過判斷進程所在路徑及其簽名來判斷。而對于調(diào)用到系統(tǒng)安全子進程的，可以通過監(jiān)控該子進程所對應的命令行中是否包含認為惡意的腳本或者程序來加以確認。

6、針對Mac終端收集、竊取信息—;—;常見的手段包含截屏、鍵盤記錄、敏感信息竊取和擴散四種，針對不同竊取場景的使用特性設(shè)計檢測截屏頻率、執(zhí)行、安裝鍵盤監(jiān)控程序等。

王朝飛稱，構(gòu)建基礎(chǔ)的EDR通常會用到進程網(wǎng)絡(luò)、進程關(guān)系、進程命令行和文件操作監(jiān)控四類，這四類數(shù)據(jù)源可以覆蓋ATT&CK中120種入侵攻擊手段，監(jiān)控概率接近80%。

“在基礎(chǔ)監(jiān)控的基礎(chǔ)上，若要構(gòu)建全面的EDR系統(tǒng)，則需收集更多的終端數(shù)據(jù)?！?/p>