macOS Security Protections
Gatekeeper
Gatekeeper зазвичай використовується для позначення комбінації Quarantine + Gatekeeper + XProtect, 3 модулів безпеки macOS, які намагаються запобігти виконанню потенційно шкідливого програмного забезпечення, завантаженого користувачами.
Більше інформації в:
macOS Gatekeeper / Quarantine / XProtectProcesses Limitants
SIP - System Integrity Protection
macOS SIPSandbox
MacOS Sandbox обмежує програми, що працюють всередині пісочниці, до дозволених дій, зазначених у профілі Sandbox, з яким працює програма. Це допомагає забезпечити, що програма буде отримувати доступ лише до очікуваних ресурсів.
macOS SandboxTCC - Transparency, Consent, and Control
TCC (Transparency, Consent, and Control) є безпековою структурою. Вона призначена для управління дозволами програм, зокрема, регулюючи їх доступ до чутливих функцій. Це включає елементи, такі як сервіси геолокації, контакти, фотографії, мікрофон, камера, доступ до можливостей для людей з обмеженими можливостями та повний доступ до диска. TCC забезпечує, що програми можуть отримувати доступ до цих функцій лише після отримання явної згоди користувача, тим самим зміцнюючи конфіденційність і контроль над особистими даними.
macOS TCCLaunch/Environment Constraints & Trust Cache
Обмеження запуску в macOS є функцією безпеки для регулювання ініціації процесів, визначаючи хто може запустити процес, як і звідки. Введені в macOS Ventura, вони класифікують системні бінарні файли в категорії обмежень у кеші довіри. Кожен виконуваний бінар має встановлені правила для свого запуску, включаючи сам, батьківський та відповідальний обмеження. Розширені до сторонніх програм як Environment Constraints в macOS Sonoma, ці функції допомагають зменшити потенційні експлуатації системи, регулюючи умови запуску процесів.
macOS Launch/Environment Constraints & Trust CacheMRT - Malware Removal Tool
Інструмент видалення шкідливих програм (MRT) є ще однією частиною інфраструктури безпеки macOS. Як випливає з назви, основна функція MRT полягає в видаленні відомих шкідливих програм з заражених систем.
Коли шкідливе програмне забезпечення виявляється на Mac (або за допомогою XProtect, або іншим способом), MRT може бути використаний для автоматичного видалення шкідливого програмного забезпечення. MRT працює тихо у фоновому режимі і зазвичай запускається щоразу, коли система оновлюється або коли завантажується нове визначення шкідливого програмного забезпечення (схоже, що правила, які MRT має для виявлення шкідливого програмного забезпечення, знаходяться всередині бінару).
Хоча як XProtect, так і MRT є частинами заходів безпеки macOS, вони виконують різні функції:
XProtect є профілактичним інструментом. Він перевіряє файли під час їх завантаження (через певні програми), і якщо виявляє будь-які відомі типи шкідливого програмного забезпечення, він запобігає відкриттю файлу, тим самим запобігаючи зараженню вашої системи з самого початку.
MRT, з іншого боку, є реактивним інструментом. Він працює після виявлення шкідливого програмного забезпечення в системі, з метою видалення шкідливого програмного забезпечення для очищення системи.
Додаток MRT розташований у /Library/Apple/System/Library/CoreServices/MRT.app
Background Tasks Management
macOS тепер інформує щоразу, коли інструмент використовує добре відому техніку для збереження виконання коду (таку як елементи входу, демонів...), щоб користувач краще знав, яке програмне забезпечення зберігається.
Це працює з демоном, розташованим у /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/backgroundtaskmanagementd
, і агентом у /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Support/BackgroundTaskManagementAgent.app
Спосіб, яким backgroundtaskmanagementd
дізнається, що щось встановлено в постійній папці, полягає в отриманні FSEvents і створенні деяких обробників для них.
Більше того, існує файл plist, який містить добре відомі програми, які часто зберігаються, що підтримується Apple, розташований у: /System/Library/PrivateFrameworks/BackgroundTaskManagement.framework/Versions/A/Resources/attributions.plist
Enumeration
Можливо перерахувати всі налаштовані фонові елементи, що працюють за допомогою інструмента Apple cli:
Крім того, також можливо вивести цю інформацію за допомогою DumpBTM.
Ця інформація зберігається в /private/var/db/com.apple.backgroundtaskmanagement/BackgroundItems-v4.btm
і Терминал потребує FDA.
Маніпуляції з BTM
Коли знаходиться нова персистентність, відбувається подія типу ES_EVENT_TYPE_NOTIFY_BTM_LAUNCH_ITEM_ADD
. Отже, будь-який спосіб запобігти цій події відправленню або агенту від сповіщення користувача допоможе зловмиснику обійти BTM.
Скидання бази даних: Виконання наступної команди скине базу даних (повинно відновити її з нуля), однак, з якоїсь причини, після виконання цього, жодна нова персистентність не буде сповіщена, поки система не буде перезавантажена.
root потрібен.
Зупинити агента: Можливо надіслати сигнал зупинки агенту, щоб він не сповіщав користувача про нові виявлення.
Помилка: Якщо процес, що створив постійність, існує швидко після нього, демон спробує отримати інформацію про нього, не вдасться і не зможе надіслати подію, що вказує на те, що новий об'єкт зберігається.
Посилання та додаткова інформація про BTM:
Last updated