Havebin

Iphone

セキュリティ速報:Macが自動で検出・削除できるマルウェアとは?c

Havebin
qlamk
0 Comments
セキュリティ速報:Macが自動で検出・削除できるマルウェアとは?c
セキュリティ速報:Macが自動で検出・削除できるマルウェアとは?c
Apple Security XProtect Mac macOS

macOSがサードパーティ製ソフトウェアの助けを借りずにどんなマルウェアを検出・除去できるのか、疑問に思ったことはありませんか?AppleはMacに内蔵されているXProtectスイートに、新しいマルウェア検出ルールを継続的に追加しています。ほとんどのルール名(シグネチャ)は難読化されていますが、少しリバースエンジニアリングすれば、セキュリティ研究者はそれらを一般的な業界用語にマッピングできます。

今回の9to5Mac Security Biteでは、2024年5月に執筆を開始した記事を改​​めて取り上げます。Appleは最新のマルウェア対策として、XProtectスイートに新しいモジュールを継続的に追加しているため、このコラムも今後更新されていくと思われます。Macが独自に検出・削除できるマルウェアは以下のとおりです。

9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください

Security Biteについて:Security Biteは、9to5Macで毎週お届けするセキュリティ特集コラムです。Arin Waichulis氏が毎週、データプライバシーに関する洞察、脆弱性の発見、そして20億台を超えるアクティブデバイスからなるAppleの広大なエコシステムにおける新たな脅威の解明に取り組んでいます。✌️

XProtect、Yara が最高だよね?

XProtectは2009年にmacOS X 10.6 Snow Leopardの一部として導入されました。当初は、インストールファイルでマルウェアが検出された場合に検出し、ユーザーに警告するためにリリースされました。しかし、XProtectは近年大幅に進化しました。長年使用されてきたマルウェア除去ツール(MRT)が2022年4月に廃止されたことを受け、Mac上の脅威を検出・修復する、より高性能なネイティブマルウェア対策コンポーネントであるXProtectRemediator(XPR)が登場しました。

XProtectスイートは、マルウェアの検出にYaraシグネチャベースの検出技術を活用しています。Yara自体は、コードまたはメタデータ内の特定の特性やパターンに基づいてファイル(マルウェアを含む)を識別する、広く普及しているオープンソースツールです。Yaraルールの優れた点は、Appleを含むあらゆる組織や個人が独自のルールを作成して活用できることです。

macOS 15 Sequoia 以降、XProtect スイートは次の 3 つの主要コンポーネントで構成されています。

  1. XProtectアプリは、アプリが最初に起動されるとき、署名が変更されるとき、または更新されるときに、Yara ルールを使用してマルウェアを検出できます。
  2. XProtectRemediator (XPR)はよりプロアクティブで、Yara ルールを用いた定期的なスキャンなどによりマルウェアを検出・削除します。これらのスキャンはアクティビティが少ない時間帯にバックグラウンドで実行され、CPU への影響は最小限に抑えられます。
  3. macOS の最新バージョンには、重要なリソースに関するシステムの動作を監視する XProtectBehaviorService (XBS) が含まれています。

残念ながら、AppleはXProtectで主に一般的なマルウェア名を難読化する汎用的な命名スキームを使用しています。これには正当な理由があるものの、XProtectがどのようなマルウェアを識別できるかを正確に知りたい人にとっては、非常に困難です。

例えば、Yaraのルールには、Pirritアドウェアを検出するためのシグネチャであるXProtect_MACOS_PIRRIT_GENなど、より分かりやすい名前が付けられているものもあります。しかし、XProtectでは、XProtect_MACOS_2fc5997のようなより一般的なルールや、XProtect_snowdriftのようにAppleのエンジニアしか知らないような内部シグネチャが主に使用されています。ここで、Phil Stokes氏やAlden氏といったセキュリティ研究者の出番が来ます。

Sentinel One LabsのPhil Stokes氏は、Appleが使用する難読化されたシグネチャを、ベンダーが使用する一般的な名前やVirusTotalなどの公開マルウェアスキャナで使用されている名前にマッピングする便利なGitHubリポジトリを管理しています。さらに、Aldenは最近、スキャンモジュールのバイナリからYaraルールを抽出することで、XPRの仕組みを理解する上で大きな進歩を遂げました。

Mac で XProtect を見つけるにはどうすればいいですか?

XProtectはmacOSのすべてのバージョンでデフォルトで有効になっています。システムレベルで完全にバックグラウンドで実行されるため、操作は必要ありません。XProtectのアップデートも自動的に行われます。XProtectのインストール場所は以下の通りです。

  1. Macintosh HDでは、ライブラリ > Apple > システム > ライブラリ > CoreServices に移動します。
  2. ここから、 XProtectを右クリックすると修復ツールを見つけることができます。
  3. 次に「パッケージの内容を表示」をクリックします
  4. コンテンツを展開
  5. MacOSを開く

注:AppleのXProtectスイートは既知の脅威の検出を目的としているため、完全に依存すべきではありません。より高度で巧妙な攻撃は、簡単に検出を回避してしまう可能性があります。サードパーティ製のマルウェア検出・削除ツールの使用を強くお勧めします。

XProtectRemdiator v151 の 24 個のスキャン モジュール

どのようなマルウェアを削除できますか?

XProtectアプリ自体は脅威の検出とブロックのみ可能ですが、除去はXPRのスキャンモジュールによって行われます。現在、XPRの最新バージョン(v151)では、24種類の修復ツールのうち14種類を特定し、マルウェアの侵入を阻止しています。

  1. Adload: 2017 年以来 macOS ユーザーをターゲットにしているアドウェアおよびバンドルウェア ローダー。Adload は、マルウェアを狙った 74 個の新しい Yara 検出ルールを追加した前回の XProtect のメジャー アップデートまでは検出を回避できました。
  2. BadGacha : まだ特定されていません。
  3. BlueTop:「BlueTopは、2023年後半にカスペルスキー社が報じたトロイの木馬プロキシ攻撃のようです」とアルデン氏は語る。
  4. Bundlore:2024年12月に追加された新しいモジュールです。このモジュールの名前は難読化されていません。Bundloreは、macOSシステムを標的とする一般的なアドウェアドロッパーのファミリーです。多くのサードパーティ製マルウェアスキャナーはBundloreを検出し、リアルタイムでブロックできます。深刻な脅威ではありません。
  5. CardboardCutout:このモジュールは他のモジュールとは少し異なる動作をします。特定の種類のマルウェアをスキャンするのではなく、CardboardCutoutは既知のシグネチャを持つマルウェアの「切り抜き」を作成し、システム上で実行される前にマルウェアを阻止します。
  6. ColdSnap:「ColdSnapは、SimpleTeaマルウェアのmacOS版を探している可能性が高い。これは3CXの侵害にも関連しており、Linux版とWindows版の両方の亜種と共通の特徴を持っている。」SimpleTea(Linux版SimplexTea)は、北朝鮮を起源とすると考えられるリモートアクセス型トロイの木馬(RAT)です。
  7. Crapyrator: CrapyratorはmacOS.Bkdr.Activatorとして特定されています。これは2024年2月に発見されたマルウェアキャンペーンで、「macOSユーザーを大規模に感染させ、macOSボットネットの作成や他のマルウェアの大規模な拡散を目的としている可能性がある」とSentinel OneのPhil Stokes氏は述べています。
  8. DubRobber: XCSSET としても知られる、厄介で多用途なトロイの木馬ドロッパーです。
  9. Eicar : 害を与えることなくウイルス対策スキャナーをトリガーするように意図的に設計された無害なファイル。
  10. FloppyFlipper : まだ特定されていません。
  11. Genieo:非常によく知られている潜在的に迷惑なプログラム(PUP)。Wikipediaのページもあるほどです。
  12. GreenAcre:まだ特定されていません。
  13. KeySteal: KeySteal は、2021 年に最初に確認され、2023 年 2 月に XProtect に追加された macOS インフォスティーラーです。
  14. MRTv3:これは、前身のマルウェア除去ツール (MRT) から XProtect に継承されたマルウェア検出および除去コンポーネントのコレクションです。
  15. Pirrit:こちらも何らかの理由で偽装されていません。Pirritは2016年に初めて出現したmacOSアドウェアです。Webページにポップアップ広告を挿入したり、ユーザーのブラウザの個人データを収集したり、さらには検索ランキングを操作してユーザーを悪意のあるページにリダイレクトしたりすることが知られています。
  16. RankStank:「このルールは、3CXインシデントで発見された悪意のある実行ファイルへのパスが含まれているため、最も明白なものの1つです」とアルデン氏は述べています。3CXは、Lazarus Groupによるサプライチェーン攻撃でした。
  17. RedPine: Alden 氏は、確信度は低いものの、RedPine はおそらく Operation Triangulation の TriangleDB に対する反応であると述べています。Operation Triangulation は、史上最も洗練された iPhone 攻撃の 1 つです。
  18. RoachFlight : 空飛ぶゴキブリとは関係がなく、残念ながら研究者によってまだ特定されていません。
  19. SheepSwap : まだ特定されていません。
  20. ShowBeagle:まだ特定されていません。
  21. SnowDrift: CloudMensis macOS スパイウェアとして識別されます。
  22. ToyDrop:まだ特定されていません。
  23. Trovi : Pirritと同様に、Troviもクロスプラットフォームのブラウザハイジャッカーです。検索結果をリダイレクトしたり、閲覧履歴を追跡したり、検索結果に独自の広告を挿入したりすることが知られています。
  24. WaterNet:まだ特定されていません。

読んでいただきありがとうございます!まだ特定されていないモジュールについて何かヒントがありましたら、コメント欄にご記入いただくか、[email protected] までメールでご連絡ください。

Follow Arin: Twitter/X, LinkedIn, Threads

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like