macOS Security Protections
Toegangbeheerder
Toegangbeheerder word gewoonlik gebruik om te verwys na die kombinasie van Kwarantyn + Toegangbeheerder + XProtect, 3 macOS-sekuriteitsmodules wat sal probeer om gebruikers te keer om potensieel skadelike sagteware wat afgelaai is, uit te voer.
Meer inligting in:
pagemacOS Gatekeeper / Quarantine / XProtectProseshanterings
SIP - Sisteemintegriteitsbeskerming
pagemacOS SIPSandboks
MacOS Sandboks beperk toepassings wat binne die sandboks hardloop tot die toegelate aksies wat in die Sandboksprofiel gespesifiseer is waarmee die toepassing hardloop. Dit help om te verseker dat die toepassing slegs verwagte hulpbronne sal benader.
pagemacOS SandboxTCC - Deursigtigheid, Toestemming en Beheer
TCC (Deursigtigheid, Toestemming en Beheer) is 'n sekuriteitsraamwerk. Dit is ontwerp om die toestemmings van toepassings te bestuur, spesifiek deur hul toegang tot sensitiewe funksies te reguleer. Dit sluit elemente soos liggingdiens, kontakte, foto's, mikrofoon, kamera, toeganklikheid en volle skyftoegang in. TCC verseker dat programme hierdie funksies slegs kan benader nadat eksplisiete gebruikerstoestemming verkry is, wat privaatheid versterk en beheer oor persoonlike data bied.
pagemacOS TCCLancering/Omgewingsbeperkings & Vertrouenskas
Lanceringsbeperkings in macOS is 'n sekuriteitskenmerk om prosesinisiëring te reguleer deur te definieer wie 'n proses kan begin, hoe, en van waar. Ingevoer in macOS Ventura, kategoriseer hulle stelselbinêres in beperkingskategorieë binne 'n vertrouenskas. Elke uitvoerbare binêre het vasgestelde reëls vir sy aanvang, insluitend self, ouer, en verantwoordelike beperkings. Uitgebrei na derdeparty-apps as Omgewing Beperkings in macOS Sonoma, help hierdie kenmerke om potensiële stelseluitbuitings te verminder deur proseslanceringsvoorwaardes te regeer.
pagemacOS Launch/Environment Constraints & Trust CacheMRT - Malwareverwyderingswerktuig
Die Malwareverwyderingswerktuig (MRT) is 'n ander deel van macOS se sekuriteitsinfrastruktuur. Soos die naam aandui, is MRT se hooffunksie om bekende malware van geïnfekteerde stelsels te verwyder.
Sodra malware op 'n Mac opgespoor word (of deur XProtect of op 'n ander manier), kan MRT gebruik word om die malware outomaties te verwyder. MRT werk stil in die agtergrond en hardloop tipies wanneer die stelsel opgedateer word of wanneer 'n nuwe malware-definisie afgelaai word (dit lyk asof die reëls wat MRT moet gebruik om malware op te spoor, binne die binêre lê).
Terwyl beide XProtect en MRT deel is van macOS se sekuriteitsmaatreëls, verrig hulle verskillende funksies:
XProtect is 'n voorkomende werktuig. Dit kontroleer lêers terwyl hulle afgelaai word (via sekere toepassings), en as dit enige bekende tipes malware opspoor, voorkom dit dat die lêer oopgemaak word, en voorkom dus dat die malware jou stelsel in die eerste plek infekteer.
MRT daarenteen is 'n reaktiewe werktuig. Dit werk nadat malware op 'n stelsel opgespoor is, met die doel om die oortredende sagteware te verwyder om die stelsel skoon te maak.
Die MRT-toepassing is geleë in /Library/Apple/System/Library/CoreServices/MRT.app
Agtergrondtakebestuur
macOS waarsku nou **elke keer as 'n werktuig 'n bekende tegniek gebruik om kode-uitvoering vol te hou (soos Aanmeldingsitems, Daemons...), sodat die gebruiker beter weet watter sagteware volhou.
Dit hardloop met 'n daemon geleë in /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd
en die agent in /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app
Die manier waarop backgroundtaskmanagementd
weet dat iets in 'n volgehoue vouer geïnstalleer is, is deur die FSEvents te kry en sommige hanteraars daarvoor te skep.
Daarbenewens is daar 'n plist-lêer wat bekende toepassings bevat wat gereeld volhou wat deur Apple onderhou word en geleë is in: /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist
Opsomming
Dit is moontlik om alle geconfigureerde agtergronditems op te som met die Apple-opdraggereelwerktuig:
Boonop, dit is ook moontlik om hierdie inligting te lys met DumpBTM.
Hierdie inligting word gestoor in /private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm
en die Terminal benodig FDA.
Mors met BTM
Wanneer 'n nuwe volharding gevind word, 'n gebeurtenis van die tipe ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD
. Enige manier om hierdie gebeurtenis te verhoed om gestuur te word of die agent om die gebruiker te waarsku sal 'n aanvaller help om die BTM te omseil.
Herstel die databasis: Deur die volgende bevel uit te voer, sal die databasis herstel word (dit behoort van die grond af herbou te word), maar, om een of ander rede, na die uitvoering hiervan, sal geen nuwe volharding gewaarsku word totdat die stelsel herlaai word.
root is vereis.
Stop die Agente: Dit is moontlik om 'n stopsein na die agente te stuur sodat dit die gebruiker nie sal waarsku nie wanneer nuwe opsporings gevind word.
Fout: As die proses wat die volharding geskep het vinnig daarna bestaan, sal die daimon probeer om inligting daaroor te kry, misluk, en nie in staat wees om die gebeurtenis aan te dui dat 'n nuwe ding volhard nie.
Verwysings en meer inligting oor BTM:
Last updated