Security

Защита MacOS от А до Я

MacOS заслужил репутацию как стабильная и безопасная система. Подавляющее большинство пользователей продукции APPLE состоятельные и успешные люди. Лептопы и десктопы с MacOS на борту восновном используются в професиональной сфере и предназначены для работы в первую очередь. Зачастую люди на данных устройствах выполняют очень отвественную и важную работу. Поэтому вопрос защиты MacOS должен быть приоритетом. Не смотря на то что MacOS сама по себе имеет очень высокий уровень защиты, не лишним будем применить дополнительные методики защиты MacOS для того чтобы обезопасить себя от вирусов и вымогателей. Сегодня наша тема — Защита MacOS!

Хотя наиболее популярные вредоносы, как правило, обходят MacOS стороной, существует множество троянов под эту операционную систему. Для защиты компьютера от наиболее распространенных видов вредоносов будут рассмотрены две бесплатные утилиты, которые могут автоматически детектировать троянов-вымогателей (ransomware), шифрующих ваши файлы, и отслеживать неавторизированный доступ к микрофону и камере.

Эти утилиты, умеющие детектировать даже ранее неизвестные вредоносные программы, были разработаны Патриком Уордлом (Patrick Wardle), бывшим хакером, работавшим в NSA. Мы рассмотрим приложения OverSight и RansomWhere, которые, вместо сканирования кода на предмет известных сигнатур, анализируют поведенческие характеристики. Оповещение происходит в тот момент, когда подозрительная программа пытается получить к камере/микрофону или зашифровать файлы.

Угрозы для MacOS

Для типичного пользователя MacOS некоторые угрозы безопасности являются более серьезными, чем другие. Программы-вымогатели – особый тип вредоносов, цель которых – заставить жертву заплатить за расшифровку файлов, ранее зашифрованных в скомпрометированной системе. Для восстановления данных пользователь должен заплатить злоумышленнику за ключ. Однако даже если вы заплатите, нет гарантий, что ключ вы получите.

Еще один тип вредоносов позволяет получить доступ к камере и микрофону жертвы с целью удаленной прослушки и отслеживания. Когда камера работает, по умолчанию на компьютерах с MacOS включен соответствующий индикатор, но в случае с микрофоном такого индикатора нет. Соответственно, с целью избежания детектирования вредоносы в основном заточены на прослушку через микрофон.

Защита MacOS — основные методы

Утилита RansomWhere

RansomWhere – бесплатное приложение, анализирующее деструктивное поведение процессов на вашем компьютере, как, например, быстрое шифрование множества файлов. При обнаружении процессов подобного рода RansomWhere останавливает шифрование и выдает предупреждение, позволяя вам принять решение, стоит ли продолжать или нет. В случае, когда вредоносная программа пытается зашифровать жесткий диск, вы будете предупреждены на самой ранней стадии и сможете завершить процесс. Защита MacOS при помощи RansomWhere является отличным решением для большинства пользователей.

Поскольку некоторые легитимные обновления приложений (например, от компании Adobe) тоже могут инициировать подобную деятельность, интеллектуальные алгоритмы, работающие в фоновом режиме, снижают процент негативных срабатываний до минимума, пытаясь различить шифрование и сжатие. Как только RansomWhere обнаруживает быстрое шифрование более чем трех файлов, вы принимаете решение, продолжать или нет. В случае если вы решаете продолжить процесс, белый список пополняется, и в будущем процент ложных срабатываний уменьшается.

Отслеживание прослушки при помощи OverSight

Утилита OverSight предназначена для тех, кто хочет отслеживать, какие приложения пытаются получить доступ к веб-камере или микрофону. Защита MacOS при помощи OverSight позволяет контролировать эти устройства и оповещает о любых нарушениях вашей конфиденциальности. Доступ к микрофону становится более прозрачным, так же, как и в случае с камерой, и становится легко заметить и отключить программы, пытающиеся получить доступ к устройству. Общее правило гласит: если вы обнаружили, что случайные приложения запрашивают доступ к микрофону и камере, вероятно у вас есть проблемы с безопасностью компьютера, и нужно провести более тщательную проверку.

Помимо мониторинга в режиме реального времени Защита MacOS при помощи OverSight также фиксирует в журнале, какие программы и когда получали доступ к этим устройствам, и было ли выдано разрешение с вашей стороны. Логи позволяют отследить подозрительную активность в прошлом, если вы беспокоитесь, когда кто-то, имея физический доступ к вашему компьютеру, гипотетически мог установить приложения для доступа к микрофону.

Переходим к установке и настройке этих утилит.

Что понадобится для защиты MacOS?

Для установки вышеупомянутых утилит, которые можно найти в соответствующем разделе сайта objective-see.com, понадобится компьютер с MacOS, браузер и подключение к интернету.

Рисунок 1: Раздел для загрузки RansomWhere и OverSight

Шаг 1. Загрузка RansomWhere

Вначале зайдите в раздел с RansomWhere, где есть много дополнительной полезной информации. Если вы хотите узнать больше о разработке и других аспектах RansomWhere, можете прочитать статью Патрика, посвященную созданию этого приложения.

Кликните на ссылку «Download», находящуюся под логотипом в виде ключа, и после загрузки, распакуйте и запустите инсталлятор.

Шаг 2. Установка и настройка RansomWhere

Установить RansomWhere не составляет особого труда. После запуска инсталлятора введите пароль для выдачи прав на установку приложения. Затем кликните на кнопку «Install» для запуска установки.

Рисунок 2: Установка RansomWhere

Установка завершается после появления сообщения об успешности окончании процесса. Теперь можно протестировать приложение RansomWhere или перейти к установке OverSight.

Шаг 3 (необязательный). Тестирование Ransomware при помощи Python

Если вы хотите протестировать RansomWhere, можете запустить приложение, функционирующее как вредонос-вымогатель. Я написал программу на Python, шифрующую любой PNG-файл, находящийся в той же директории.

Открываем терминал и вводим команды для создания в домашней директории «GenEncrypt».

cd
mkdir GenEncrypt
cd GenEncrypt/
 
nano 
RealBadFile.
py

Затем копируем код ниже в окно и после завершения создания нажимаем ctrl + x, а затем вводим «Y» после завершения записи в файл.

import pyAesCrypt
import os
 
counter = 0
def encryptDat(victimFile, counter):
    # encryption/decryption buffer size — 64K
    bufferSize = 64 * 1024
    password = «tunnelsnakesrule»
    # encrypt
    pyAesCrypt.encryptFile(victimFile, victimFile + (str(counter+1)) + «.aes», password, bufferSize)
    counter += 1
counter = 0
current = os.getcwd()
for file in os.listdir(current):
    if file.endswith(«.png»):
        victimFile = os.path.join(current, file)
        encryptDat(victimFile, counter)
print(«Done!»)

Если ввести команду ls, в списке должен появиться файл «RealBadFile.py».

Этот код будет шифровать все PNG-файлы, находящиеся в той же директории, при помощи алгоритма AES! Помещаем в папку как минимум три файла (например, можно сделать скриншоты), а затем в терминале вводим команду ниже:

pip install pyAesCrypt
python3 RealBadFile.py

Учитывая, что скрипт зашифровал 3 файла, должно появиться предупреждение, как показано на рисунке ниже. В MacOS Catalina вероятно нужно разрешить оповещения, чтобы RansomWhere смог отображать всплывающие сообщения.

Рисунок 3: Предупреждение о подозрительной программе, шифрующей файлы

Для приостановки шифрования нужно нажать на кнопку «Terminate».

Шаг 4. Загрузка OverSight

Зайдите в раздел с OverSight, где есть много полезной информации, а также ссылка для загрузки.

Для загрузки инсталлятора кликните на «Download» под иконкой в левом верхнем углу, затем дважды кликните на файле для распаковки и далее еще раз дважды кликните на исполняемом файле, чтобы началась установка. Введите пароль для выдачи прав на установку и нажмите на кнопку «Install».

Рисунок 4: Установка OverSight

После завершения установки, запустите программу, которой нужен доступ к камере, как, например, Photo Booth. Должно появиться предупреждение, позволяющее решить, нужно ли разрешать доступ к устройству или нет. В MacOS Catalina необходимо включить оповещения для OverSightHelper, чтобы предупреждения появлялись.

Шаг 5. Настройка и блокировка нежелательных запросов

Для настройки OverSight кликните на иконку в виде зонтика, находящуюся на панели задач, а затем зайдите в настройки. Здесь же отображается текущий статус микрофона и камеры.

В настройках можно указать, должен ли запускаться OverSight сразу после авторизации в системе, нужно ли фиксировать активность в журнале, или активировать некоторые другие функции.

Рисунок 5: Раздел с настройками OverSight

Если нажать на кнопку «Manage Rules», появится белый список приложений. В этом перечне находятся программы, которым разрешен доступ к микрофону и камере. В любой момент вы можете пересмотреть свое решение, кликнув на крестик справа от соответствующего приложения.

Рисунок 6: Белый список приложений, которым разрешен доступ к устройствам

Теперь все настройки, необходимые для отслеживания доступа к устройствам в режиме реального времени любой программой, должны быть выполнены.

Шаг 6. Просмотр логов на предмет событий, связанных с активацией устройств

Помимо отслеживания в режиме реального времени, вы можете посмотреть, у каких программ был доступ к микрофону или камере. Кликнув на ссылку (view), находящуюся после «Log Activity» в разделе с настройками, вы увидите полную историю доступа к обоим устройствам.

Рисунок 7: Журнал доступа приложений к устройствам

С помощью этой информации мы можем детально разобраться, какие программы и когда подключались к камере и микрофону.

Заключение

Хотя для обычного пользователя борьба с вредоносами в MacOS может вызывать затруднения, при помощи приложений, рассмотренных выше, не составит труда отследить и остановить вредоносную активность в системе. Благодаря OverSight и RansomWhere, мы можем обнаружить и предотвратить подозрительное поведение, пока не наступили более серьезные последствия. Речь идет даже о ранее неизвестных вредоносах.

Надеюсь, вам понравилось это руководство, и теперь вы сможете повысить уровень безопасности в системе с MacOS.

Click to rate this post!
[Total: 1 Average: 5]
cryptoworld

Специалист в области кибер-безопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз. Цель данного блога - простым языком рассказать о сложных моментах защиты IT инфраструктур и сетей.

Recent Posts

Лучший адаптер беспроводной сети для взлома Wi-Fi

Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…

11 месяцев ago

Как пользоваться инструментом FFmpeg

Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…

11 месяцев ago

Как создать собственный VPN-сервис

Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…

11 месяцев ago

ChatGPT против HIX Chat: какой чат-бот с искусственным интеллектом лучше?

С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…

11 месяцев ago

Разведка по Wi-Fi и GPS с помощью Sparrow-wifi

Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…

11 месяцев ago

Как обнаружить угрозы в памяти

Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…

11 месяцев ago