روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برای مقابله‌ی مؤثر با تهدیدها، استفاده از راهکارهای امنیتی پیشرفته و قوانین شناسایی سفارشی ضروری است. اگر سیستمی بین کاربران محبوب باشد، می‌توان مطمئن بود که خود را در دل مجرمان سایبری هم جا کرده است. با اینکه ویندوز همچنان در صدر قرار دارد، رتبه دوم از آنِ macOS است. همین موضوع باعث می‌شود که این سیستم‌عامل هدفی جدی برای مهاجمان باشد.

macOS  با بهره‌گیری از سازوکارهای امنیتی داخلی، به‌طور کلی امنیتی نسبتاً سرتاسری برای کاربر فراهم می‌کند. در این مقاله، برخی از این سازوکارها همراه با مثال‌هایی از مسیرهای رایج حمله و روش‌های شناسایی و مقابله با آن‌ها بررسی می‌شوند.

مروری بر سازوکارهای امنیتی  macOS

در ادامه، مجموعه‌ای از مکانیزم‌های امنیتی macOS را با توضیحی کوتاه مرور می‌کنیم:

• Keychain –  مدیر رمزعبور پیش‌فرض
• TCC –  کنترل دسترسی اپلیکیشن‌ها
• SIP –  حفظ یکپارچگی اطلاعات در پوشه‌ها و پردازش‌های آسیب‌پذیر
• File Quarantine –  محافظت در برابر اجرای فایل‌های مشکوک دانلودشده از اینترنت
• Gatekeeper –  اطمینان از اجرای اپلیکیشن‌های قابل‌اعتماد
• XProtect –  سامانه ضد بدافزار مبتنی بر امضا
• XProtect Remediator –  ابزار واکنش خودکار به تهدیدهای شناسایی‌شده توسط  XProtect

Keychain

مدیر رمز عبور macOS که در سال ۱۹۹۹ معرفی شد، همچنان یکی از اجزای کلیدی چارچوب امنیتی اپل است. این ابزار فضایی مرکزی و ایمن برای ذخیره‌سازی انواع داده‌های محرمانه فراهم می‌کند: از گواهی‌ها و کلیدهای رمزنگاری گرفته تا گذرواژه‌ها و اطلاعات کاربری. تمامی حساب‌های کاربری و رمزهای عبور به‌طور پیش‌فرض در Keychain  ذخیره می‌شوند. دسترسی به این داده‌ها با یک رمز عبور اصلی محافظت می‌شود.

فایل‌های Keychain در مسیرهای‎~/Library/Keychains/‎، ‎/Library/Keychains/‎و‎/Network/Library/Keychains/‎ قرار دارند. علاوه بر رمز عبور اصلی، هرکدام از این فایل‌ها می‌توانند با کلید جداگانه‌ای محافظت شوند. به‌طور پیش‌فرض، تنها مالک Keychain مربوط و مدیران سیستم به این فایل‌ها دسترسی دارند. همچنین این فایل‌ها با استفاده از الگوریتم قدرتمند AES-256-GCM  رمزنگاری می‌شوند. این سطح رمزنگاری، حتی در صورت دسترسی فیزیکی به سیستم، امنیت بالایی را تضمین می‌کند.

با این حال، حمله به مدیر رمز عبور مک‌اواس همچنان ممکن است. ابزارهایی تخصصی مانند Chainbreaker برای استخراج داده از فایل‌های Keychain طراحی شده‌اند. اگر مهاجم به فایل Keychain و رمز عبورش دسترسی داشته باشد، می‌تواند بدون نیاز به دستگاه قربانی، تحلیل محلی انجام دهد و اطلاعات را به‌طور کامل رمزگشایی کند. علاوه بر این، ابزارهای داخلی macOS مانند رابط گرافیکی Keychain Access  یا ابزار خط فرمان‎/usr/bin/security‎نیز در صورت آلوده بودن سیستم می‌توانند برای اهداف مخرب به کار گرفته شوند.بنابراین، با وجود معماری مقاوم  Keychain، همچنان کنترل دسترسی محلی، محافظت از رمز عبور اصلی، و کاهش خطر نشت اطلاعات به بیرون از سیستم اهمیت دارد.

برای شناسایی این نوع حملات، باید ثبت رویدادهای مربوط به راه‌اندازی پردازش‌ها را فعال کنید. بهترین روش برای این کار استفاده از ابزار ثبت لاگ داخلی macOS یعنیESF  است. این ابزار امکان جمع‌آوری رویدادهای مورد نیاز برای ساخت منطق شناسایی را فراهم می‌کند. در محصول Kaspersky Endpoint Detection and Response   یا همان KEDR، این فرایند از پیش پیاده‌سازی و پیکربندی شده است. از جمله رویدادهای مهم برای شناسایی این نوع فعالیت‌ها، دستورهای security dump-keychain  و security list-keychains  هستند؛ چرا که اجرای آن‌ها در رفتار معمول کاربران macOS رایج نیست. در ادامه، نمونه‌ای از هشدار EDR هنگام شناسایی تلاش برای استخراج اطلاعات از Keychain، به‌همراه یک نمونه از قانون شناسایی، ارائه شده است. 

SIP

System Integrity Protection  یا همانSIP  یکی از مهم‌ترین مکانیزم‌های امنیتی macOS است که با هدف جلوگیری از دخالت غیرمجاز در فایل‌ها و فرایندهای حیاتی سیستم طراحی شده، حتی از سوی کاربرانی با دسترسی مدیریتی. این مکانیزم اولین‌بار در نسخه‌ی OS X 10.11 (El Capitan) معرفی شد و گامی مهم در جهت تقویت امنیت با محدود کردن امکان تغییر اجزای سیستم و محافظت در برابر نفوذ مخرب به‌شمار می‌رود.

SIP  از فایل‌ها و پوشه‌ها با اختصاص ویژگی‌هایی ویژه محافظت می‌کند که امکان تغییر محتوا را برای تمامی افراد، به‌جز فرایندهای سیستمی مورد اعتماد (که دسترسی به آن‌ها برای کاربران و نرم‌افزارهای طرف‌سوم ممکن نیست) مسدود می‌کند. این سازوکار به‌ویژه مانع از تزریق مؤلفه‌های مخرب به فایل‌های سیستمی می‌شود. پوشه‌های زیر به‌طور پیش‌فرض تحت محافظت SIP قرار دارند:

/System 

/sbin 

/bin 

/usr  (به‌جز /usr/local) 

/Applications  (برای اپلیکیشن‌های از پیش نصب‌شده))

/Library/Application Support/com.apple.TCC 

فهرست کامل مسیرهای تحت حفاظت SIP در فایل پیکربندی /System/Library/Sandbox/rootless.conf ثبت شده است. این مسیرها عمدتاً شامل فایل‌های سیستمی و اپلیکیشن‌های پیش‌فرض می‌شوند، اما می‌توان مسیرهای اضافی را نیز به آن‌ها افزود.

SIP  سطح بالایی از محافظت برای اجزای سیستم فراهم می‌کند، اما اگر فردی به سیستم دسترسی فیزیکی داشته باشد یا دسترسی ادمین را به‌دست آورد، می‌تواند SIP را غیرفعال کند. این کار تنها با راه‌اندازی سیستم در Recovery Mode و اجرای دستور csrutil disable  در ترمینال ممکن است. برای بررسی وضعیت فعلی SIP، می‌توان از دستور csrutil status  استفاده کرد.برای شناسایی چنین فعالیتی، باید اجرای دستور csrutil status را تحت نظارت قرار دهید، چرا که مهاجمان معمولاً ابتدا وضعیت SIP را بررسی می‌کنند تا گزینه‌های در دسترس را بشناسند. از آنجا که دستور csrutil disable  در حالت بازیابی اجرا می‌شود، یعنی پیش از راه‌اندازی راهکارهای پایش سیستم، ثبت نمی‌شود؛ بنابراین، پیگیری اجرای آن بی‌فایده است. در عوض، می‌توانید نظارت بر وضعیت SIP را فعال کنید تا در صورت تغییر وضعیت، هشدار امنیتی صادر شود.

TCC

سیستم‌عامل macOS دارای چارچوبی به نام Transparency, Consent and Control (TCC)  است که شفافیت دسترسی برنامه‌ها را با الزام به کسب رضایت صریح کاربر برای استفاده از داده‌ها و عملکردهای حساس سیستم فراهم می‌کند. TCC بر پایه‌ی پایگاه‌داده‌های SQLite ساخته شده که در دو محل ذخیره می‌شوند: مسیر مشترک سیستم (/Library/Application Support/com.apple.TCC/TCC.db) و مسیر اختصاصی هر کاربر (/Users/<username>/Library/Application Support/com.apple.TCC/TCC.db).

تمامیت این پایگاه‌داده‌ها و محافظت آن‌ها در برابر دسترسی غیرمجاز، با استفاده از SIP تأمین می‌شود. این موضوع باعث می‌شود تغییر مستقیم در آن‌ها امکان‌پذیر نباشد. برای دخالت در این پایگاه‌داده‌ها، مهاجم باید یا SIP را غیرفعال کند یا به فرایندهای سیستمی مورد اعتماد دسترسی پیدا کند. همین موضوع TCC را در برابر دست‌کاری و نفوذ، بسیار مقاوم می‌سازد.عملکرد TCC به این صورت است: هرگاه اپلیکیشنی برای اولین‌بار به عملکردی حساس (مانند دوربین، میکروفون، موقعیت جغرافیایی، دسترسی کامل به دیسک، یا کنترل ورودی) دسترسی پیدا کند، پنجره‌ای تعاملی ظاهر می‌شود و از کاربر اجازه می‌خواهد. این سازوکار، کنترل کاملی بر گسترش سطح دسترسی اپلیکیشن‌ها در اختیار کاربر قرار می‌دهد.

کلیک‌جکینگ در TCC:راهی برای دور زدن حفاظت

یکی از بُردارهای احتمالی برای دور زدن مکانیزم  TCC، تکنیکی به نام «کلیک‌جکینگ» است. در این روش، پنجره‌ای با ظاهر تغییر یافته روی پنجره‌ی واقعی درخواست دسترسی قرار می‌گیرد تا ماهیت واقعی درخواست پنهان شود. کاربری که متوجه موضوع نیست، روی دکمه کلیک می‌کند و ناخواسته به بدافزار اجازه دسترسی می‌دهد.اگرچه این تکنیک به‌طور مستقیم از TCC سوءاستفاده نمی‌کند، اما در عمل به مهاجم امکان دسترسی به عملکردهای حساس سیستم را می‌دهد، بدون توجه به سطح حفاظت اعمال‌شده.

مهاجمان معمولاً به دنبال دسترسی‌هایی مانند Full Disk Access  یا Accessibility  هستند، چرا که این مجوزها تقریباً دسترسی نامحدود به سیستم فراهم می‌کنند. به همین دلیل، پایش تغییرات در پایگاه‌داده TCC.db و مدیریت دقیق مجوزهای حساس، از اقدامات حیاتی برای حفظ امنیت macOS محسوب می‌شوند.

File Quarantine

File Quarantine  یکی از قابلیت‌های امنیتی داخلی macOS است که نخستین‌بار در نسخه OS X 10.5 (Tiger)  معرفی شد. این قابلیت هنگام پردازش فایل‌های دانلودشده از منابع خارجی، امنیت سیستم را افزایش می‌دهد. این مکانیزم مشابه قابلیت Mark-of-the-Web  در ویندوز است و هنگام اجرای فایل‌های دانلودشده، به کاربر در مورد خطرات احتمالی هشدار می‌دهد.فایل‌هایی که از طریق مرورگر یا سایر اپلیکیشن‌های سازگار با File Quarantine  دانلود می‌شوند، با ویژگی خاصی به نام  com.apple.quarantine علامت‌گذاری می‌شوند. هنگام اجرای این فایل‌ها برای اولین‌بار، اگر فایل دارای امضای دیجیتال معتبر باشد و از نظر Gatekeeper  (در بخش بعدی توضیح داده می‌شود) مشکوک تشخیص داده نشود، پیامی از کاربر برای تأیید اجرا درخواست می‌شود. این روند به جلوگیری از اجرای ناخواسته‌ی بدافزارها کمک می‌کند.

مهاجمان برای جلوگیری از قرنطینه شدن فایل‌های خود، از تکنیک‌هایی برای دور زدن File Quarantine استفاده می‌کنند. برای مثال، فایل‌هایی که از طریق ابزارهایی مانند curl، wget یا سایر ابزارهای سطح پایینکه با مکانیزم File Quarantine یکپارچه نیستند،دریافت می‌شوند، معمولاً این ویژگی امنیتی را دریافت نمی‌کنند.اگر قابلیت قرنطینه با موفقیت از فایل حذف شود، هنگام اجرای آن هیچ هشدار امنیتی نمایش داده نمی‌شود. این مسئله در حملات مهندسی اجتماعی یا زمانی که مهاجم قصد دارد فایل مخرب را بدون اطلاع کاربر اجرا کند، کاربرد دارد.

برای شناسایی این فعالیت، باید اجرای دستور xattr  را با پارامترهای -d و com.apple.quarantine  نظارت کنید؛ این ترکیب نشان‌دهنده‌ی تلاش برای حذف ویژگی قرنطینه است. در رویدادهای مربوط به نفوذ در macOS، بررسی منشأ فایل نیز اهمیت دارد؛ اگر فایلی وارد سیستم شده باشد بدون آنکه به‌عنوان فایل قرنطینه‌شده علامت‌گذاری شود، این خود یک عامل خطر به شمار می‌رود.در ادامه، نمونه‌ای از هشدار EDR هنگام شناسایی حذف ویژگی قرنطینه، و نیز یک نمونه از قانون شناسایی چنین رویدادهایی ارائه شده است.

Gatekeeper

Gatekeeper  یکی از اجزای کلیدی سیستم امنیتی macOS است که برای محافظت از کاربران در برابر اجرای اپلیکیشن‌های بالقوه خطرناک طراحی شده است. این مکانیزم نخستین‌بار در نسخه OS X Leopard در سال ۲۰۱۲ معرفی شد. Gatekeeper امضای دیجیتال اپلیکیشن‌ها را بررسی می‌کند و در صورتی که ویژگی com.apple.quarantine در فایل وجود داشته باشد، مانع اجرای برنامه‌هایی می‌شود که بدون امضای معتبر هستند یا کاربر آن‌ها را تأیید نکرده است. این روند، ریسک اجرای کدهای مخرب را به‌شکل چشمگیری کاهش می‌دهد.

Gatekeeper  چگونه عمل می‌کند؟

Gatekeeper  از اپلیکیشن‌ها می‌خواهد که:

• یا با گواهی توسعه‌دهنده معتبر اپل امضا شده باشند،
• یا پس از بررسی کد منبع، توسط اپل تأیید شده باشند.

اگر یک برنامه هیچ‌یک از این شرایط را نداشته باشد، Gatekeeper  به‌طور پیش‌فرض اجرای آن از طریق دوبار کلیک را مسدود می‌کند. امکان اجرای این برنامه‌ها همچنان وجود دارد، اما کاربر باید از مسیر تنظیمات سیستم اقدام به رفع محدودیت کند. بنابراین، برای اجرای موفق یک حمله، مهاجم باید نه تنها قربانی را قانع کند که برنامه را مورد اعتماد علامت بزند، بلکه باید روش انجام این کار را نیز به او توضیح دهد. این فرایند پیچیده به‌خودی‌خود مشکوک به نظر می‌رسد.با این حال، اگر برنامه از منوی زمینه اجرا شود، پنجره‌ای باز می‌شود که به کاربر اجازه می‌دهد با یک کلیک و تأیید قصد خود برای اجرای برنامه، این محدودیت را دور بزند. این ویژگی در حملات مهندسی اجتماعی مورد سوءاستفاده قرار می‌گیرد: بدافزار ممکن است همراه با دستورالعمل‌هایی باشد که به کاربر می‌گویند فایل را از طریق کلیک راست اجرا کند.در ادامه، به تفاوت بین اجرای برنامه با دوبار کلیک و اجرای آن از طریق منوی زمینه اشاره شده است. وقتی فایل دارای ویژگی قرنطینه باشد، دوبار کلیک باعث نمایش یک پنجره هشدار می‌شود. اما در اجرای از طریق کلیک راست، تنها یک پنجره ساده ظاهر می‌شود که دور زدن محدودیت را آسان می‌کند.

جمع‌بندی

قابلیت‌های امنیتی داخلی macOS بسیار قدرتمند و مقاوم هستند و سطح بالایی از محافظت را ارائه می‌دهند. با این حال، همانند هر سیستم‌عامل بالغ دیگری، مهاجمان همچنان به روش‌هایی برای دور زدن حتی مطمئن‌ترین مکانیزم‌های حفاظتی دست می‌یابند.در مواردی که سازوکارهای پیش‌فرض سیستم دور زده شوند، پیاده‌سازی اقدامات امنیتی اضافی ممکن است دشوار باشد. به همین دلیل، برای محافظت کامل در برابر تهدیدات سایبری، استفاده از راهکارهای پیشرفته شرکت‌های امنیتی طرف‌سوم توصیه می‌شود.

Kaspersky EDR Expert  و Kaspersky Endpoint Security  تمامی تهدیدهای ذکر شده در این مطلب را شناسایی و مسدود می‌کنند. همچنین، برای جلوگیری از دور زدن سازوکارهای امنیتی استاندارد، می‌توانید از قوانین Sigma ارائه‌شده استفاده کنید.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.