Apple Scripts

Es handelt sich um eine Skriptsprache, die zur Automatisierung von Aufgaben verwendet wird und mit Remote-Prozessen interagiert. Es ist sehr einfach, andere Prozesse aufzufordern, bestimmte Aktionen auszuführen. Malware kann diese Funktionen missbrauchen, um Funktionen von anderen Prozessen zu missbrauchen. Beispielsweise könnte eine Malware beliebigen JS-Code in geöffneten Browserseiten einschleusen oder automatisch auf einige vom Benutzer angeforderte Berechtigungen klicken.

tell window 1 of process "SecurityAgent"
click button "Always Allow" of group 1
end tell

Hier sind einige Beispiele: https://github.com/abbeycode/AppleScripts Weitere Informationen über Malware, die AppleScripts verwendet, finden Sie hier.

Apple-Scripts können leicht "kompiliert" werden. Diese Versionen können mit osadecompile leicht "dekompiliert" werden.

Diese Skripte können jedoch auch als "Schreibgeschützt" exportiert werden (über die Option "Exportieren..."):

``` file mal.scpt mal.scpt: AppleScript compiled ``` Und in diesem Fall kann der Inhalt selbst mit `osadecompile` nicht dekompiliert werden.

Es gibt jedoch immer noch einige Tools, die verwendet werden können, um diese Art von ausführbaren Dateien zu verstehen. Lesen Sie diese Forschung für weitere Informationen). Das Tool applescript-disassembler mit aevt_decompile wird sehr nützlich sein, um zu verstehen, wie das Skript funktioniert.