Macos ha sido reconocido durante mucho tiempo por su pila de seguridad robusta e integrada, pero los ciberdelincuentes están encontrando formas de armarse estas mismas defensas.
Los incidentes recientes muestran a los atacantes explotan el llavero, SIP, TCC, Gatekeeper, File Quarantine, XProtect y XProtect Remediator para entregar sigilosamente las cargas útiles maliciosas.
Control de llave
1.
2. Evasión de defensa a través de la discapacidad de Gatekeeper, Clickjacking TCC y descargando XProtect.
3. Registro de ESF con reglas Sigma más EDR de terceros asegura la detección.
Explotación de protección de macOS incorporada
Kaspersky informa que los atacantes han cambiado de exploits de fuerza contundente a abuso matizado de herramientas y características legítimas. Un vector común involucra al llavero: los adversarios usan utilidades como o los comandos nativos/usr/bin/listas de seguridad y los comandos de llave de vertedero de seguridad para cosechar credenciales.
Para detectar dicho uso no autorizado, las organizaciones deben registrar eventos de creación de procesos a través de las invocaciones de ESF y FLAG donde CMDLine coincide con la seguridad con-listas de listas o-dump-keychain.
Una regla representativa de Sigma desencadena estos patrones bajo ataque. Acceso de credencial (T1555.001).
La protección contra la integridad del sistema (SIP) es otro foco. Los atacantes inician en modo de recuperación para ejecutar, pero a menudo sondean el estado de SIP primero usando el estado de csrutil.
Dado que las ejecuciones en modo de recuperación eluden registros estándar, los defensores deben implementar el monitoreo continuo de estado SIP y generar alertas sobre los cambios en el estado un enfoque alineado con la regla Sigma T1518.001 bajo ataque. Descubrimiento.
Arma de arma de cuarentena, guardián y TCC
File Quarantine, que etiqueta los ejecutables descargados con el atributo com.apple.quarantine, se puede pasar por alto mediante herramientas de bajo nivel como curl o wget, o invocando
El monitoreo de las ejecuciones de XATTR con -d com.apple.quarantine permite la detección de intentos de eliminación de cuarentena (Sigma T1553.001 bajo ataque. Defensa-evasión).
Gatekeeper se basa en la firma de código y la utilidad SPCTL. Los atacantes pueden deshabilitarlo o engañar a los usuarios para que haga clic con el botón derecho en una aplicación para evitar las comprobaciones de firma, Kaspersky dicho.
Alertar sobre SPCTL con los parámetros de Master-Disable o -global-Dispalable descubre estas tácticas de evasión de defensa (Sigma T1562.001).
La transparencia, el consentimiento y el control (TCC) rigen el acceso a la cámara, el micrófono y el acceso completo a los disco a través del TCC.DB. basado en SQLite.
Si bien la modificación requiere deshabilitar SIP o secuestrar un proceso del sistema, los adversarios emplean superposiciones de clickjacking para engañar a los usuarios para otorgar permisos elevados. La auditoría continua de los cambios de TCC.DB y las indicaciones del usuario es crucial para la advertencia temprana.
Finalmente, XProtect y XProtect Remediator ofrecen bloqueo de malware basado en la firma y remediación automática.
Los atacantes sofisticados intentan deshabilitar o pasar por alto estos servicios inyectando extensiones de núcleos sin firmar (KEXTS) o abusando de LaunchCTL para descargar los demonios de Apple. Los defensores deben realizar un seguimiento de la descarga de lanzamiento y los intentos de carga sin firmar.
Aunque las capas de seguridad integradas de MacOS son formidables, los atacantes evolucionan continuamente para explotar los mecanismos legítimos.
Implementar el registro detallado basado en ESF, la implementación de reglas Sigma para patrones de comandos críticos y aumentar las defensas nativas con soluciones de EDR de terceros puede detectar e frustrar efectivamente estas amenazas avanzadas.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
