Setelah peluncuran beta baru minggu lalu, Apple mengeluarkan salah satu pembaruan paling signifikan pada XProtect yang pernah saya lihat. Alat pendeteksi malware macOS menambahkan 74 aturan pendeteksian Yara baru, semuanya ditujukan untuk satu ancaman, Adload. Jadi apa sebenarnya masalah ini dan mengapa Apple melihatnya sebagai masalah?
9to5Mac Security Bite secara eksklusif dipersembahkan oleh Mosyle, satu-satunya Platform Terpadu Apple . Menjadikan perangkat Apple siap bekerja dan aman bagi perusahaan adalah semua yang kami lakukan. Pendekatan terintegrasi kami yang unik terhadap manajemen dan keamanan menggabungkan solusi keamanan canggih khusus Apple untuk Pengerasan & Kepatuhan yang sepenuhnya otomatis, EDR Generasi Berikutnya, Zero Trust yang didukung AI, dan Manajemen Privilege eksklusif dengan MDM Apple yang paling kuat dan modern di pasar. Hasilnya adalah Apple Unified Platform yang sepenuhnya otomatis dan saat ini dipercaya oleh lebih dari 45.000 organisasi untuk membuat jutaan perangkat Apple siap bekerja tanpa perlu bersusah payah dan dengan biaya terjangkau. Minta UJI COBA PERPANJANGAN Anda hari ini dan pahami mengapa Mosyle adalah segalanya yang Anda perlukan untuk bekerja dengan Apple.
XProtect, aturan Yara ya?
XProtect diperkenalkan pada tahun 2009 sebagai bagian dari macOS X 10.6 Snow Leopard. Awalnya, ini dirilis untuk mendeteksi dan memperingatkan pengguna jika malware ditemukan di file instalasi. Namun, XProtect belakangan ini telah berkembang secara signifikan. Penghentian Malware Removal Tool (MRT) yang sudah lama ada pada bulan April 2022 mendorong munculnya XProtectRemediator (XPR), komponen anti-malware asli yang lebih mampu dan bertanggung jawab untuk mendeteksi dan memperbaiki ancaman di Mac.
Pada macOS 14 Sonoma, XProtect terdiri dari tiga komponen utama:
Aplikasi XProtect itu sendiri, yang dapat mendeteksi malware menggunakan aturan Yara setiap kali aplikasi pertama kali diluncurkan, mengubah, atau memperbarui tanda tangannya. XProtectRemediator lebih proaktif dan dapat mendeteksi dan menghapus malware dengan pemindaian Yara biasa. Hal ini terjadi di latar belakang selama periode aktivitas rendah dan memiliki dampak minimal pada CPU. XProtectBehaviorService (XBS) ditambahkan dengan versi terbaru macOS dan memantau perilaku sistem sehubungan dengan sumber daya penting. Rangkaian XProtect menggunakan tanda tangan Yara deteksi berbasis untuk mengidentifikasi malware. Yara sendiri adalah alat sumber terbuka yang diadopsi secara luas yang mengidentifikasi file (termasuk malware) berdasarkan karakteristik dan pola tertentu dalam kode atau metadata. Hal yang hebat tentang aturan Yara adalah organisasi atau individu mana pun dapat membuat dan memanfaatkan aturan mereka sendiri, termasuk Apple.
Perusahaan ini terutama menggunakan skema penamaan generik atau internal di XProtect yang mengaburkan nama malware sebenarnya. Hal ini membuat identifikasi mereka menjadi agak rumit. Terima kasih, Apple (menghela nafas). Beberapa aturan diberi nama yang bermakna, seperti XProtect_MACOS_PIRRIT_GEN, sebuah tanda tangan untuk mendeteksi adware Pirrit. Namun, ada juga aturan yang lebih umum seperti XProtect_MACOS_2fc5997 atau aturan internal seperti XProtect_snowdrift.
Phil Stokes dari Sentinal One Labs mengelola repo praktis di GitHub yang memetakan nama keluarga malware yang dikaburkan ini ke nama industri yang umum. Saya sangat merekomendasikan untuk melihatnya.
Perang Adload: Apple Menyerang Balik
Dengan XProtect v2192, tampaknya Apple kini dapat mendeteksi semua basis kode Adload dan setiap jenis pemuat adware dan bundleware yang pernah tersebar luas yang menargetkan pengguna macOS sejak tahun 2017. Bagi siapa pun yang mengikuti kisah ini, ini adalah lama tertunda.
Setelah Adload menyusup ke Mac (yaitu, membodohi pengguna dengan perangkat lunak yang sah), Adload akan membajak hasil mesin pencari, memasukkan iklannya sendiri, dan merekomendasikan pengguna untuk mengunjungi situs yang mungkin membayar biaya kepada pelaku ancaman. Ini merupakan tambahan dari informasi pribadi apa pun yang mungkin dikumpulkannya.
Selain itu, keluarga malware baru-baru ini mampu menghindari deteksi oleh Gatekeeper dan XProtect, ditemukan “ditandatangani” dengan sertifikat pengembang Apple, serta “diaktakan,” dan hingga minggu lalu, banyak strain yang tidak melakukannya. cocok dengan profil malware di database XProtect. Tidak diragukan lagi, hal ini benar-benar memusingkan tim keamanan Apple, yang menurut saya mengunggah 74 aturan baru dengan sangat gembira.
Lebih dari segalanya, ini adalah kemenangan besar bagi pengguna Mac sehari-hari yang beroperasi tanpa perangkat lunak pendeteksi dan penghapusan malware pihak ketiga.
Secara default, XProtect memperbarui dirinya sendiri secara otomatis. Tidak diperlukan pembaruan ke versi terbaru macOS Sonoma, tetapi tetap sangat disarankan!
Selengkapnya dalam seri ini
iCloud Mail, Gmail, dan lainnya sangat buruk dalam mendeteksi malware, temuan studiPenjahat dunia maya memanfaatkan pengambilan pihak ketiga dari Apple Store OnlineInilah malware yang dapat dihapus oleh Mac Anda Strain malware macOS yang merusak sendiri yang disamarkan sebagai aplikasi Mac yang sahPembayaran Ransomware mencapai rekor $1,1 miliar pada tahun 2023 meskipun tahun sebelumnya mengalami penurunan Ikuti Arin : Twitter/X,LinkedIn, Threads
Itulah konten tentang Gigitan Keamanan: Apakah Apple baru saja menyatakan perang terhadap malware Adload?, semoga bermanfaat.