هل تساءلت يومًا عن ما الذي يمكن أن يكتشفه MacOS من البرامج الضارة وإزالته دون مساعدة من برنامج الطرف الثالث؟ تضيف Apple بشكل مستمر قواعد جديدة للكشف عن البرامج الضارة إلى مجموعة Xprotect المدمجة في Mac. في حين أن معظم أسماء القواعد (التوقيعات) مملوءة ، مع قليل من الهندسة العكسية ، يمكن للباحثين الأمنية تعيينهم لأسماء الصناعة المشتركة.
في هذه الطبعة من 9to5mac لدغة الأمن، أعيد النظر في قصة بدأت العمل عليها في مايو من عام 2024. نظرًا لأن Apple تضيف باستمرار وحدات جديدة إلى جناح Xprotect الخاص بها لمكافحة أحدث اتجاهات البرامج الضارة ، وأظن أن هذا العمود سيستمر في التحديث مع مرور الوقت. إليك ما يمكن أن يكتشفه MAC برامج MAC وإزالته من تلقاء نفسه:
9to5mac لدغة الأمن يتم تقديمها لك بشكل حصري Mosyle ، المنصة الوحيدة Apple Unified. إن جعل أجهزة Apple جاهزة للعمل والمؤسسات الآمنة كل ما نقوم به. يجمع نهجنا المتكامل الفريد في الإدارة والأمن بين حلول أمان خاصة بالشكل من أجل التصلب والامتثال الآلي بالكامل ، والجيل القادم EDR ، و AI Zero Trust ، وإدارة الامتيازات الحصرية مع أقوى MDM Apple الأقوى والحديثة في السوق. والنتيجة هي منصة Apple Unified الآلية تمامًا موثوقة حاليًا من قبل أكثر من 45000 منظمة لجعل ملايين أجهزة Apple جاهزة للعمل دون أي جهد وبكلفة معقولة. طلب تجربتك الممتدة اليوم وفهم لماذا Mosyle هو كل ما تحتاجه للعمل مع Apple.
عن لدغة الأمن: Lite Security هو عمود أسبوعي يركز على الأمن على 9to5mac. كل أسبوع ، أرين وايتشوليس يقدم رؤى حول خصوصية البيانات ، ويكشف عن نقاط الضعف ، ويسلم الضوء على التهديدات الناشئة داخل النظام الإيكولوجي الهائل من Apple الذي يزيد عن ملياري جهاز نشطق. ✌
Xprotect ، قواعد يارا ، هاه؟
تم تقديم Xprotect في عام 2009 كجزء من MacOS X 10.6 Snow Leopard. في البداية ، تم إصداره للكشف عن المستخدمين وتنبيههم إذا تم اكتشاف البرامج الضارة في ملف تثبيت. ومع ذلك ، تطورت Xprotect مؤخرًا بشكل كبير. دفع تقاعد أداة إزالة البرامج الضارة الطويلة (MRT) في أبريل 2022 إلى ظهور XprotectRemediator (XPR) ، وهو مكون أكثر قدرة على مضادات الميالودية المحلية المسؤولة عن اكتشاف التهديدات وعلاجها على MAC.
يستخدم جناح Xprotect اكتشافًا قائمًا على توقيع Yara لتحديد البرامج الضارة. Yara نفسها هي أداة مفتوحة المصدر المعتمدة على نطاق واسع تحدد الملفات (بما في ذلك البرامج الضارة) بناءً على خصائص وأنماط محددة في الكود أو البيانات الوصفية. ما هو رائع في قواعد Yara هو أن أي منظمة أو فرد يمكنه إنشاء واستخدامها ، بما في ذلك Apple.
اعتبارًا من MacOS 15 Sequoia ، يتكون جناح Xprotect من ثلاثة مكونات رئيسية:
- ال تطبيق Xprotect يمكن اكتشاف البرامج الضارة باستخدام قواعد YARA عندما يقوم التطبيق أولاً بتشغيل توقيعات أو تغيير أو تحديث توقيعاته.
- Xprotectremediator (XPR) أكثر نشاطًا ويمكنه اكتشاف البرامج الضارة وإزالتها عن طريق المسح العادي باستخدام قواعد YARA ، من بين أشياء أخرى. تحدث هذه في الخلفية خلال فترات النشاط المنخفض ولها تأثير ضئيل على وحدة المعالجة المركزية.
- أحدث إصدار من MacOS يتضمن Xprotectbehaviorservice (XBS) ، الذي يراقب سلوك النظام فيما يتعلق بالموارد الحرجة.
لسوء الحظ ، تستخدم Apple في الغالب مخططات التسمية الداخلية العامة في Xprotect التي تملأ أسماء البرامج الضارة الشائعة. على الرغم من أن هذا يتم لسبب وجيه ، فإنه يجعل من الصعب على أولئك الذين لديهم فضول معرفة بالضبط ما يمكن أن يحدده Xprotect للبرامج الضارة.
على سبيل المثال ، يتم إعطاء بعض قواعد YARA أسماء أكثر وضوحًا ، مثل XProtect_MACOS_PIRRIT_GEN ، وهو توقيع للكشف عن pirrit adware. ومع ذلك ، في Xprotect ، ستجد إلى حد كبير قواعد عامة مثل Xprotect_MACOS_2FC5997 والتوقيعات الداخلية التي يعرفها مهندسي Apple فقط ، مثل Xprotect_SnowDrift. هذا هو المكان الذي يحب فيه باحثو الأمن فيل ستوكس و ألدن ادخل.
يدير Phil Stokes مع Sentinel One Labs مستودعًا مفيدًا على جيثب الذي يرسم هذه التوقيعات المتفوغة التي تستخدمها Apple إلى أسماء أكثر شيوعًا يستخدمها البائعون والموجود في ماسحات البرامج الضارة العامة مثل Virustotal. علاوة على ذلك ، قدمت Alden مؤخرًا تقدمًا كبيرًا في فهم كيفية عمل XPR من خلال استخراج قواعد YARA من ثنائيات وحدة المسح.
كيف أجد Xprotect على جهاز Mac الخاص بي؟
يتم تمكين XProtect افتراضيًا في كل إصدار من MacOS. كما أنه يعمل على مستوى النظام ، تمامًا في الخلفية ، لذلك لا توجد حاجة إلى تدخل. تحدث التحديثات إلى XProtect تلقائيًا. إليك مكان وجوده:
- في ماكينتوش HDو اذهب إلى المكتبة> Apple> نظام> مكتبة> مراقبة
- من هنا ، يمكنك العثور على مختلط بالنقر بزر الماوس الأيمن على Xprotect
- ثم انقر إظهار محتويات الحزمة
- يوسع محتويات
- يفتح ماكوس
ملاحظة: لا ينبغي للمستخدمين الاعتماد بالكامل على جناح Xprotect من Apple ، حيث تم إجراؤه لاكتشاف التهديدات المعروفة. يمكن أن تحايل الهجمات الأكثر تقدما أو متطورا بسهولة على اكتشاف. أنصح بشدة استخدام أدوات الكشف عن البرامج الخبيثة وإزالة الجهات الخارجية.
ما البرامج الضارة التي يمكن أن تزيلها؟
في حين أن تطبيق Xprotect نفسه لا يمكنه اكتشاف التهديدات وحظرها إلا ، فإنه يعود إلى وحدات مسح XPR لإزالة. في الوقت الحالي ، يمكننا تحديد 14 من أصل 24 من المراقبين في الإصدار الحالي من XPR (V151) للحفاظ على البرامج الضارة عن جهازك.
- adload: Adware و Bundleware Loader التي تستهدف مستخدمي MacOS منذ عام 2017. كان ADLOAD قادرًا على تجنب الكشف قبل التحديث الرئيسي الأخير لـ Last إلى XPROTECT الذي أضاف 74 من قواعد اكتشاف YARA الجديدة جميعها تستهدف البرامج الضارة.
- Badgacha: لم يتم تحديده بعد.
- Bluetop: يقول ألدن: “يبدو أن Bluetop هي حملة طروادة بروكسي التي غطتها Kaspersky في أواخر عام 2023”.
- حظر: وحدة جديدة ، تمت إضافتها في ديسمبر من عام 2024. اسم هذه الوحدة غير محشور. Bundlore هي عائلة من قطارات البرامج الإعلانية الشائعة التي تستهدف أنظمة MACOS. يمكن للعديد من ماسحات البرامج الضارة من طرف ثالث اكتشاف Bundlore والتوقف فيها في الوقت الفعلي. إنه ليس تهديدًا كبيرًا.
- CardboardCutout: تعمل هذه الوحدة بشكل مختلف قليلاً عن الآخرين. بدلاً من المسح الضوئي لنوع معين من البرامج الضارة ، يعمل CardboardCutout من خلال إنشاء “قطع” من البرامج الضارة مع توقيعات معروفة ويوقفها قبل أن تحصل على فرصة للتشغيل على الإطلاق على النظام.
- Coldsnap: “من المحتمل أن يبحث ColdSnap عن إصدار MacOS من البرامج الضارة SimpleTea. وارتبط هذا أيضًا بخرق 3CX ويشارك السمات مع كل من متغيرات Linux و Windows.” SimpleTea (Simplextea على Linux) هو طروادة وصول عن بعد (RAT) التي يُعتقد أنها نشأت من DPRK.
- هروب: تم التعرف على Crapyrator على أنه MacOS.BKDR.Activator. هذه حملة خبيثة تم اكتشافها في فبراير 2024 أن “مستخدمي MACOS على نطاق واسع ، يحتمل أن يكون لغرض إنشاء BOTNET MACOS أو تقديم برامج ضارة أخرى على نطاق واسع” ، كما يقول Phil Stokes لـ Sentinel One.
- دوبروببر: قطارة طروادة مقلقة ومتعددة الاستخدامات المعروفة أيضًا باسم XCSSEST.
- eicar: ملف غير ضار مصمم عمداً لإحداث ماسحات مضادة للفيروسات دون أن يكون ضارًا.
- مرنة: لم يتم تحديده بعد.
- جنيو: برنامج شائع للغاية يحتمل أن يكون غير مرغوب فيه (PUP). لدرجة أن لديها حتى صفحة ويكيبيديا الخاصة بها.
- Greenacre: لم يتم تحديدها بعد.
- keysteal: Keysteal هو MacOS Infostealer الذي لوحظ في البداية في عام 2021 ويضيف إلى Xprotect في فبراير 2023.
- MRTV3: هذه مجموعة من مكونات الكشف عن البرامج الضارة وإزالة الجد في Xprotect من سابقتها ، أداة إزالة البرامج الضارة (MRT).
- بيرريت: هذا أيضًا لا يتنكر لسبب ما. Pirrit هو برامج إعلانية MacOS التي ظهرت لأول مرة في عام 2016. ومن المعروف أن ضخ الإعلانات المنبثقة في صفحات الويب ، وجمع بيانات متصفح المستخدم الخاص ، وحتى معالجة تصنيف البحث لإعادة توجيه المستخدمين إلى صفحات ضارة.
- Rankstank: “هذه القاعدة هي واحدة من أكثر وضوحًا ، حيث تتضمن مسارات إلى المنافسين الخبيثين الموجودة في حادثة 3CX” ، كما يقول Alden. كان 3CX هجوم سلسلة التوريد المنسوبة إلى مجموعة لازاروس.
- ريدبين: مع انخفاض الثقة ، من المحتمل أن يكون Alden States Redpine استجابةً لـ Triangledb من Triangulation – واحدة من أكثر هجمات iPhone تطوراً في كل العصور.
- Roachflight: لا تتعلق بصراصير الطيران ، وللأسف لم يتم تحديدها بعد من قبل الباحثين.
- Sheepswap: لم يتم تحديده بعد.
- Showbeagle: لم يتم تحديدها بعد.
- Snowdrift: تم تحديدها على أنها CloudMensis Macos Spyware.
- Toydrop: لم يتم تحديدها بعد.
- تروفي: على غرار Pirrit ، Trovi هو محطور متصفح عبر المنصات. من المعروف أن إعادة توجيه نتائج البحث ، وتتبع تاريخ التصفح ، وحقن إعلاناته الخاصة للبحث.
- Waternet: لم يتم تحديدها بعد.
شكرا لك على القراءة! إذا كان لديك نصائح حول ما لم يتم تحديد بعض الوحدات النمطية بعد ، فيرجى تركه في التعليقات أو أطلق عليّ رسالة بريد إلكتروني arin@9to5mac.com.
وآلي أرين: Twitter/X.، LinkedIn ، المواضيع
FTC: نحن نستخدم روابط التابعة لمكسب الدخل. أكثر.
اكتشاف المزيد من عالم الآيفون
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
