新的AdLoad惡意軟體變種可以透過蘋果的XProtect防禦

美國網路安全公司SentinelOne跟蹤發現一種新的AdLoad惡意軟體變種，正在透過 Apple基於YARA簽名的XProtect內建防病毒技術感染Mac。

AdLoad是一種針對macOS平臺的廣泛木馬 ，至少自 2017年末以來用於部署各種惡意負載，包括廣告軟體和潛在不需要的應用程式 (PUAs)，該惡意軟體還可以獲取系統資訊，隨後傳送到其運營商控制的遠端伺服器。

七月以來越來越活躍

根據SentinelOne威脅研究員的說法，這些大規模和持續的攻擊最早在2020年11月就開始了，從今年7月、8月初開始活動增加。

一旦感染Mac，AdLoad就會安裝一箇中間人(MiTM)網路代理來劫持搜尋引擎的結果，並將廣告注入網頁以獲取利潤。

透過安裝LaunchAgents和LaunchDaemons以及在某些情況下每兩個半小時執行一次的使用者cronjobs，它還可以在受感染的Mac上持續執行。

在監控此活動時，研究人員觀察到220多個樣本，其中150個樣本是獨一無二的，並且沒有被Apple的內建防病毒軟體檢測到，儘管XProtect現在帶有大約十幾個AdLoad簽名。

SentinelOne檢測到的許多樣本也使用Apple頒發的有效開發者ID證書進行簽名，而其他樣本也經過公證以在預設Gatekeeper設定下執行。

目前發現XProtect上次更新是 6月15日左右。

“數百個知名廣告軟體變種的獨特樣本已經傳播了至少10個月，但蘋果內建惡意軟體掃描器仍未檢測到這一事實表明，有必要為Mac裝置新增進一步的終端安全控制。”

難以忽視的威脅

從這個角度來看，另一種常見的macOS惡意軟體Shlayer也曾繞過XProtect，並透過其他惡意負載感染mac電腦，它已經攻擊了卡巴斯基監控的超過10%的蘋果電腦。

它的開發者還透過蘋果的自動公證程式獲得了他們的惡意軟體，幷包括禁用Gatekeeper保護機制的能力，以執行未簽名的第二階段有效負載。

Shlayer最近還利用macOS 0day繞過蘋果的檔案隔離、Gatekeeper和公證安全檢查，並在受影響的mac電腦上下載第二階段惡意負載。

雖然AdLoad和Shlayer現在只部署廣告軟體和捆綁軟體作為次級有效載荷，但它們的創造者可以隨時迅速切換到更危險的惡意軟體，包括勒索軟體或雨刷。

蘋果軟體部門負責人克雷格·費代裡吉在5月份Epic Games與蘋果公司的庭審中作證時稱:“今天，我們發現Mac上的惡意軟體已經到了我們無法接受的程度，比iOS還要糟糕得多。”

網路安全問題關係著社會科技的進步與發展，做好網路安全防禦勢在必行。在日常生活中，除了需要及時更新軟體補丁修復漏洞，儘可能縮短0day漏洞在系統和應用軟體中的存在時間，還有以下2點需要做好：

1，從外部上加強網路入侵防禦系統建設

入侵防禦系統本質上是入侵檢測系統和防火牆的有機結合，對於網路入侵防禦系統(NIPS)而言，在網路環境中的部署應當注意對攻擊的防範。在網路邊界方面，NIPS工作的重點在於執行對於資料流的分析，從傳輸特徵和協議兩個方面展開對於傳輸請求的檢查。

2，從軟體內部上加強程式碼安全減少系統漏洞

資料顯示，超過六成的安全漏洞與程式碼有關，程式碼靜態分析技術可以幫助使用者減少30-70%的安全漏洞。做好 程式碼靜態檢測，可以防範那些繞過防火牆躲過病毒查殺的攻擊者，從內部減少系統缺陷穩固系統安全，減少資料洩露事件的發生Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：

bleepingcomputer.com/news/apple/new-adload-malware-variant-slips-through-apples-xprotect-defenses/