Thought Leadership
Da 91 Prozent der Unternehmen Mac-Computer verwenden, sind Mac-Geräte mittlerweile zu einem wachsenden Ziel für Cyberangriffe geworden. Jahrelang galten Macs als immun gegenüber Cyberangriffen.
Erfolgreiche Angriffe wie KeRanger, XAgent, MacOSDynamic, Linker Exploitation und IoS Trifecta haben gezeigt, dass Mac-Endpunkte nun anfällig für verschiedene Arten von Malware und Exploits sind. Palo Alto Networks hat einen stetigen Anstieg macOS-basierter Bedrohungen beobachtet und gibt Tipps, wie diese eingedämmt werden können.
Im Wesentlichen hat Palo Alto Networks vier Hauptkategorien für Mac-Bedrohungen auf Endpoints identifiziert:
- Potenziell unerwünschte und schädliche Programme (PUPs)
- Trojaner und Backdoors wie OSX/Dok oder Kumar in the Mac (KitM), auch bekannt als HackBack
- Gezielte Bedrohungen wie OceanLotus, Sofacy X-Agent oder MacDownloader
- Hacking-Tools wie PowershellEmpireOSX
Häufige Mac-Bedrohungen und Trends
Einer der häufigsten Infektionsmechanismen für Mac-Endpunkte sind Phishing- und Social- Engineering-E-Mails. Diese E-Mails enthalten ZIP-Dateien, die den Benutzer dazu verleiten sollen, gefälschte Anwendungen zu installieren, die anscheinend von gültigen Apple-Entwickler-IDs signiert wurden. Andere Infektionstechniken umfassen gefälschte Antivirus-Software und Python-basierte Malware-Angriffe.
Schutz vor modernen Bedrohungen
Eine naheliegende Lösung zur Abwehr dieser Bedrohungen ist die integrierte macOS-Sicherheitsfunktion Gatekeeper. Bevor eine heruntergeladene Anwendung ausgeführt werden kann, überprüft Gatekeeper, dass diese als sicher validiert oder von einem vorab genehmigten Entwickler veröffentlicht wurde. Es hat sich jedoch gezeigt, dass dieser Ansatz Sicherheitslücken und logische Schwachstellen aufweist. Diese können ausgenutzt werden, da Gatekeeper die digitale Signatur der Anwendungen unmittelbar nach der Ausführung prüft und es so Angreifern ermöglicht, zusätzliche Prozesse auszuführen.
Eine andere mögliche Lösung besteht darin, Antivirenprodukte von Drittanbietern zu verwenden. Die bekannten Herausforderungen und Schwachstellen im Zusammenhang mit dem Schutz von Windows-Endpunkten durch Antivirenprogramme gelten jedoch auch für den Schutz von Mac-Endpunkten: Abhängigkeiten von Eins-zu-Eins-Signaturen, kontinuierliche Updates, Beschränkung auf die Erkennung bekannter Bedrohungen und die Unfähigkeit, Zero-Day- Bedrohungen zu erkennen.
Die Cyberbedrohungen stammen aus verschiedenen Quellen in einer Vielzahl von Formen.
Der Endpunktschutz sollte daher mehrere Methoden verwenden, um eine maximale Prävention zu gewährleisten. Bekannte Malware muss sofort erkannt und verhindert werden. Malware, die bisher noch nicht gesehen wurde, muss in Echtzeit schnell als bösartig erkannt und blockiert werden, bevor sie ein System infizieren kann. Zudem müssen die vorhandenen integrierten Präventionsfunktionen von Mac-Geräten und Gatekeeper verbessert werden, indem nur Prozesse auf der Basis ihrer verifizierten Signaturebenen ausgeführt werden dürfen.
Angreifer setzen Exploits ein, um Sicherheitslücken in Systemen auszunutzen. Häufig sind dies Schwachstellen, die noch nicht entdeckt oder gepatcht wurden. Diese Exploits verwenden, obwohl sie ständig an Zahl und Variation zunehmen, im Allgemeinen den gleichen Satz bekannter Techniken. Dazu gehören Speicherbeschädigung, logische Fehler und Rechteausweitung. Durch die Fokussierung der Präventionsmethoden auf diese Kerntechniken wird die Notwendigkeit eines sofortigen Patchings ebenso wie die Gefahr von Zero-Day-Exploits verringert.
Werden in allen kritischen Phasen des Angriffslebenszyklus mehrere Schutzebenen platziert, können sowohl Malware- als auch Exploit-basierte Angriffe gestoppt werden. Dieser Ansatz funktioniert am effektivsten, wenn er auf einer Plattform aufbaut, in der Threat Intelligence, also Bedrohungsanalyse integriert ist. Somit ist auch der Schutz in inkonsistenten Silo-Umgebungen gewährleistet und Mac-Endpunkte sind sicher vor Malware und Exploits.
www.paloaltonetworks.com
