Pernah bertanya-tanya malware apa yang dapat dideteksi dan dihapus oleh macOS tanpa bantuan perangkat lunak pihak ketiga? Apple terus menambahkan aturan deteksi malware baru ke rangkaian XProtect bawaan Mac. Meskipun sebagian besar nama aturan (tanda tangan) dikaburkan, dengan sedikit rekayasa balik, peneliti keamanan dapat memetakannya ke nama industri yang umum. Lihat malware apa yang dapat dihapus oleh Mac Anda di bawah ini!
9to5Mac Security Bite secara eksklusif dipersembahkan oleh Mosyle, satu-satunya Platform Terpadu Apple . Menjadikan perangkat Apple siap bekerja dan aman bagi perusahaan adalah semua yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple yang paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
XProtect, aturan Yara ya?
XProtect diperkenalkan pada tahun 2009 sebagai bagian dari macOS X 10.6 Snow Leopard. Awalnya, ini dirilis untuk mendeteksi dan memperingatkan pengguna jika malware ditemukan di file instalasi. Namun, XProtect belakangan ini telah berkembang secara signifikan. Penghentian Malware Removal Tool (MRT) yang sudah lama ada pada bulan April 2022 mendorong munculnya XProtectRemediator (XPR), komponen anti-malware asli yang lebih mampu dan bertanggung jawab untuk mendeteksi dan mengatasi ancaman di Mac.
Rangkaian XProtect menggunakan deteksi berbasis tanda tangan Yara untuk mengidentifikasi malware. Yara sendiri adalah alat sumber terbuka yang diadopsi secara luas yang mengidentifikasi file (termasuk malware) berdasarkan karakteristik dan pola tertentu dalam kode atau metadata. Hal yang hebat tentang aturan Yara adalah organisasi atau individu mana pun dapat membuat dan memanfaatkan aturan mereka sendiri, termasuk Apple.
Mulai macOS 14 Sonoma, suite XProtect terdiri dari tiga komponen utama:
Aplikasi XProtect itu sendiri, yang dapat mendeteksi malware menggunakan aturan Yara setiap kali aplikasi pertama kali diluncurkan, mengubah, atau memperbarui tanda tangannya. XProtectRemediator (XPR) lebih proaktif dan dapat mendeteksi serta menghapus malware, antara lain dengan pemindaian rutin menggunakan aturan Yara. Hal ini terjadi di latar belakang selama periode aktivitas rendah dan memiliki dampak minimal pada CPU. XProtectBehaviorService (XBS) ditambahkan dengan versi terbaru macOS dan memantau perilaku sistem sehubungan dengan sumber daya penting. Sayangnya, Apple kebanyakan menggunakan generik skema penamaan internal di XProtect yang mengaburkan nama umum malware. Meskipun hal ini dilakukan untuk alasan yang baik, hal ini menciptakan tugas yang menantang bagi mereka yang penasaran untuk mengetahui secara pasti apa yang dapat diidentifikasi oleh malware XProtect.
Misalnya, beberapa aturan Yara diberi nama yang lebih jelas, seperti XProtect_MACOS_PIRRIT_GEN, tanda tangan untuk mendeteksi adware Pirrit. Namun, di XProtect, Anda akan menemukan aturan yang lebih umum seperti XProtect_MACOS_2fc5997 dan tanda tangan internal yang hanya diketahui oleh teknisi Apple, seperti XProtect_snowdrift. Di sinilah peneliti keamanan seperti Phil Stokes dan Alden berperan.
Phil Stokes dengan Sentinel One Labs mengelola repositori praktis di GitHub yang memetakan tanda tangan yang dikaburkan yang digunakan oleh Apple ke nama yang lebih umum digunakan oleh vendor dan ditemukan di pemindai malware publik seperti VirusTotal. Selain itu, Alden baru-baru ini membuat kemajuan signifikan dalam memahami cara kerja XPR dengan mengekstraksi aturan Yara dari biner modul pemindaiannya.
Malware apa yang dapat dihapus oleh macOS?
Meskipun aplikasi XProtect itu sendiri hanya dapat mendeteksi dan memblokir ancaman, aplikasi ini bergantung pada modul pemindaian XPR untuk dihapus. Saat ini, kami dapat mengidentifikasi 14 dari 23 remediator di versi XPR saat ini (v133) untuk mencegah malware masuk ke mesin Anda.
23 modul pemindaian di XProtectRemdiator v133 Adload: Adware dan pemuat bundleware menargetkan pengguna macOS sejak 2017. Adload mampu menghindari deteksi sebelum pembaruan besar bulan lalu ke XProtect yang menambahkan 74 aturan deteksi Yara baru yang semuanya ditujukan untuk malware. BadGacha : Belum teridentifikasi. BlueTop: “BlueTop tampaknya merupakan kampanye Trojan-Proxy yang dicakup oleh Kaspersky pada akhir tahun 2023,” kata Alden. CardboardCutout: Belum teridentifikasi. ColdSnap: “ColdSnap adalah mungkin mencari malware SimpleTea versi macOS. Hal ini juga dikaitkan dengan pelanggaran 3CX dan memiliki kesamaan dengan varian Linux dan Windows.” SimpleTea (SimplexTea di Linux) adalah Trojan Akses Jarak Jauh (RAT) yang diyakini berasal dari DPRK. Crapyrator: Crapyrator telah diidentifikasi sebagai macOS.Bkdr.Activator. Ini adalah kampanye malware yang ditemukan pada bulan Februari 2024 yang “menginfeksi pengguna macOS dalam skala besar, berpotensi untuk tujuan membuat botnet macOS atau mengirimkan malware lain dalam skala besar,” kata Phil Stokes untuk Sentinel One. DubRobber: Sebuah masalah dan penetes Trojan serbaguna juga dikenal sebagai XCSSET. Eicar : File tidak berbahaya yang sengaja dirancang untuk memicu pemindai antivirus tanpa membahayakan. FloppyFl
Itulah konten tentang Security Bite: Inilah malware yang dapat dideteksi dan dihapus oleh Mac Anda, semoga bermanfaat.