macOS用户威胁总结

赤脚晓涛

人们一直认为MacOS操作系统没有威胁（或者至少没有严重威胁）。与基于Windows的系统相比，针对MacOS的威胁要少得多。然而，造成这种情况的主要原因是潜在受害者的数量不同：运行windows的计算机比运行macos的计算机多得多，不过这种情况正在改变。尽管苹果公司已经做出了种种努力，但苹果设备的威胁格局正在发生变化，恶意软件数量也在不断增长。
' M8 a+ _8 s* ~' m* @* F! `; S0 X4 \在本报告中使用了来自卡巴斯基安全网络云基础设施的统计数据，它存储了所有有关恶意程序和其他威胁的信息。所有这些威胁在某个时候都攻击了安装卡巴斯基防护系统用户的计算机，但这些攻击都被成功地抵御住了。
数据统计和趋势
' Q* \1 Z3 @6 f9 |& N' ?
网络钓鱼
7 ?) ]- y, A5 G" S! \+ C
在2019年上半年，我们发现了近600万个针对MacOS用户的网络钓鱼攻击。其中，11.80%的目标用户是企业用户。
( G' V+ f6 V5 T8 k$ [! \在遭受网络钓鱼攻击的macos用户中，巴西（30.87%）、印度（22.08%）和法国（22.02%）所占份额最大。
9 p% C2 t4 r% Y2 }1 l利用苹果的网络钓鱼攻击每年增长30-40%。2018年，此类袭击的数量接近150万起。截至6月，2019年网络钓鱼攻击已超过160万次，比上年全年增长9%。
  n- t+ T( m' W) W5 P恶意软件

) v  X, N4 D& o( D8 g% z. y+ D从2012年到2017年，遭受恶意程序攻击的MacOS用户数量不断增长，每年接近25.5万名受攻击用户。不过，从2018年开始，被攻击用户开始减少，2019年上半年仅为8.7万人。
5 D2 w  h0 Z5 m7 c% R& v% O. [% K自2012年以来，通过恶意序对MacOS用户的攻击数量每年都在增加，2018年超过400万次。2019年上半年，已有180万起此类袭击。
* s0 W( [0 }& W0 t* x' V2019年MacOS面临的绝大多数威胁都属于广告软件类。恶意软件的威胁中，shlayer家族一直是最流行的，他们伪装成adobe flash player或者其他更新程序进行攻击。
超过四分之一的mac用户生活在美国。
针对Mac用户的网络钓鱼

6 i: b2 x+ s8 }, n8 _* I& o3 R# p从2015年开始收集针对MacOS用户的钓鱼威胁的详细数据。过去四年收集的数据表明，针对macos用户的网络钓鱼攻击数量在增长，而且增长速度相当快。2015年，我们共记录了852293起攻击，2016年，这一数字增长了86%，超过150万起，2017年飙升至400万起。2018年，攻击事件持续增加，突破730万起大关。从这一点上我们可以看到，仅在2019年上半年，就发生了5932195起袭击事件，这意味着，目前的趋势继续下去，到年底，袭击数量可能超过1600万起。
, w' h, z1 ]# y, }
2019年上半年，面临网络钓鱼攻击的企业MacOS用户比例高达11.80%。与2018年同期相比，这一比例略有上升，2018年同期这一比例为10.25%。
钓鱼网页
; M; M5 m1 `8 Z+ k$ ~( _$ D  e
. k, ^3 a, I, O为了了解钓鱼网页所模拟的服务，我们分析了最常见的仿冒技巧和受攻击用户的地理位置。然后将结果与2018年同期数据进行比较。
. k: j/ O5 n( T6 a" v9 H无论是在2019年还是2018年，MacOS用户访问的网络钓鱼页面最常伪装成银行服务（2019年为39.95%，2018年为29.68%），其次是全球门户网站（2019年为21.31%，2018年为27.04%）。社交网络在2019年排名第三（12.3%），在线商店第四（2018年为10.75%）。
- `: A9 u0 ?  e2 d
地理数据
) j! E9 b. E) n
2019年上半年，面临网络钓鱼攻击的MacOS用户最多的国家是巴西（30.87%）、印度（22.09%）和法国（22.02%）。2018年，前三名与2019年持平。

8 i: {& f% p- ]* ]  t苹果垃圾邮件和网络钓鱼攻击
' O4 ^. [/ q7 k& q
1 z' Z% a+ f: E7 X% r! r0 ~0 y, c在macos用户面临的网络钓鱼攻击中，我们将分别关注模仿苹果官方页面或只是提及苹果品牌的假冒网页。2016年，试图利用该品牌的攻击相对较少（75.5万次）。但在2017年，这一数字增长了近40%，超过了100万，一年后，这一数字几乎达到了150万。2019年将创造一个新的纪录：仅在上半年，就阻止了160多万起攻击。

仿冒苹果官方网站的钓鱼网页的例子如下。当然，这些网络钓鱼攻击最常见的目的是窃取用户的苹果ID。
- m* O9 P+ q* {1 x
恶意软件攻击
7 S5 a4 `$ q2 ]
& ~* H* [( Z6 I7 K# k8 K钓鱼网页的另一种形式是恶意软件感染检测通知页面。这些通知的设计各不相同。其中一些质量很高，他们完整地复制了苹果官方网站。恶意软件感染威胁目的是说服用户拨打假的服务支持号码或安装假的防病毒应用程序，从而将不存在的威胁转化为真正的威胁。
4 C7 u+ x, ?4 D8 F% P4 ]# ^7 y: X' J7 c
恶意MacOS程序
( S! A% l. g3 K: G5 Q: S. ~
我们的数据库包含206759个针对MacOS的恶意文件。下面的图表说明了数据库的增长。

从图表中可以看出，到2011年，每年检测到的针对MacOS的恶意文件数量微不足道。但后来发生了变化：从2012年开始，我们收集的文件数量开始逐年翻番。在2019年上半年，检测到38677个恶意对象。
3 p2 d# ]# w' \1 k为了确定近年来被恶意软件攻击的macos用户数量的变化，我们研究了2012年到现在的统计数据。与上图非常相似，你可以看到在2012年到2017年间被攻击的用户数量急剧增加。
  s, n+ n/ j% B7 q
3 D+ p, P! B* a2 a: C为了粗略估计macos用户被恶意软件攻击的频率，可以查如下看图表。
1 ^% U9 g# r/ Y% N3 b& w
# g- z& W! ]6 d$ E2 ^1 p" Y1 {+ D攻击地理统计
  A1 _' A  v9 r7 i3 O
为了了解MacOS威胁的地理分布，并确定是否存在更容易受到恶意软件攻击的区域，我们按照2019年上半年受攻击用户的份额对各国进行了评级。

5 l# p+ e5 B6 f& t8 H2019威胁统计
: |) Z6 H* X; @, E1 J
2 F# G9 s; q  K$ d! B以下是2019年上半年观察到的MacOS面临的十大威胁：

$ K5 T' ~/ E; ^3 c5 c- \MacOS和目标攻击

在过去的几年里，我们至少看到了8个组织的行动假定macbook、iphone和其他设备的用户为目标。
接下来，结合2018年和2019年调查，概述针对MacOS和iOS平台的目标攻击。
iOS的SkyGoFree植入（2018年1月）

在发现SkyGoFree安卓植入系统后不久，发现并分析了一种由同一网络组织开发的iOS植入系统。它是对SkyGoFree基础框架进行分析后发现的，由几个用于iOS的配置文件（MobileConfig）组成，这些文件用于在MDM服务器上注册设备。
: }5 l8 o0 A( A- T) CSofacyXagent（2018年3月）

Sofacy是最专业的网络间谍组织之一。这个组使用的工具之一是xagent，它是一组共享公共代码库的恶意软件，每个样本都经过单独修改以感染特定的操作系统，包括macos和ios。
$ [' y$ F7 F1 mBahamut相关植入（2018年7月）

; I8 J/ r! M# e: q在研究SkygoFree iOS植入时，发现了几台服务器，这些服务器可能属于bahamut组织，自2017年以来一直处于活动状态。
Applejeus行动（2018年8月）

! l; R+ _% ^$ R: B2 h2 j在调查Lazarus Group对加密货币交换服务的攻击时，发现攻击者向潜在的受害者发送了带有恶意MacOS加密货币交易应用程序链接的消息。
ThreatNeedle和Manuscrypt（2018年10月）

' x2 Z# G2 i8 [2018年发现Manuscrypt，一个专门由Lazarus组织使用的恶意软件。恶意软件的新样本明显不同于之前活动中的样本，因此我们给它们取了一个新名字：ThreatNeedle。
+ k0 v% B, D( |- PWindtail（2018年12月）
  G) r  [" N/ H: X
5 n2 d" h1 K! l) ~" Z: [在Dark Matter于2018年8月公布其关于Windshift的发现后不久，我们对该组的活动进行了自己的调查。特别是windtail的macos恶意软件。
Lazarus新MacOS恶意软件（2019年1月）
& r' Z0 I9 P/ M$ e: ]/ M8 z
# g4 {. v4 a. l6 [3 V2 I, B在applejeus运行六个月后，我们发现了新的lazarus活动活动，来自金融部门的公司再次受到攻击，攻击期间攻击者使用了先前未知的macos恶意软件。
8 T/ y/ X8 u" ]& y. T0 {$ vFinSpy新iOS植入版本（2019年年中）
( t1 a& I! P4 F: V. q4 }/ |7 `+ E
2018年底，在野外发现了新版FinSpy iOS植入。该植入是FinSpy移动产品的一部分。
总结

: x" m4 |, x! v. P0 m1 m9 f& _* R$ C! }MacOS恶意软件已经从2004年的孤立实例发展到2019年的数十万种类型。但爆炸式增长的时代已经过去，网络罪犯在这个平台上活动减少。然而，与windows用户相比，macbooks和imacs用户从来没有被视为优先目标。此外，还有大量已知和未知的windows漏洞，windows用户往往不定期安装更新，网络犯罪分子就更容易、更方便地攻击windows系统。
网络钓鱼和社会工程，现在也在上升，攻击者主要攻击苹果ID。苹果ID相对容易转换为经济利益。这类数据的被盗是macos用户现在面临的最危险的威胁。统计数据显示，这类攻击将来可能会呈上升趋势。
! B9 ~% H2 l6 b/ M. j" D* g一个极为危险（但也极为罕见）的威胁是针对macos和ios用户（主要是商业用户）的有针对性的攻击。一些著名的网络犯罪组织目前正在为这些操作系统开发恶意软件，但随机用户成为此类程序目标的可能性极小。如果你在金融机构工作，那么被瞄准的机会就会大大增加。我们预计，2019年至2020年间，针对MacOS和iOS设备的目标攻击数量将增加。

# s3 n: M8 z( c8 j安全建议
; @; m+ y/ m$ `
4 N, s8 F8 f( o: b& O为了保证MacOS上的设备安全，如下安全建议：
& I" l6 p, v8 w2 p

[color=#777575 !important]1、保持MacOS和所有应用程序更新
[color=#777575 !important]2、仅使用从官方网页下载或从Mac应用商店安装的合法软件
9 H2 s5 A2 o! D# `: H) k[color=#777575 !important]3、开始使用可靠的安全解决方案
[color=#777575 !important]4、只能从官方资源（如AppStore）下载和安装应用程序。
[color=#777575 !important]5、如果您需要访问您的iCloud，例如在手机丢失时找到它，请仅使用官方网站。
- _0 a: y& i1 B( f! G/ g; m2 O4 j

为了降低企业macos用户的风险，应采取以下措施：
+ p* f# P0 c' s% S- E9 o

[color=#777575 !important]1、为员工提供安全意识培训，说明如何识别和避免潜在的恶意应用程序或文件。例如，员工不应从不可信或未知来源下载和启动任何应用程序或程序。
5 x1 L) `1 r% @! K, s+ j[color=#777575 !important]2、使用专门的安全产品，包括对macos和ios的保护。
# V5 k) J! y& }) h2 E5 F) x

*参考来源：securelist，由Kriston编译，转载请注明来自FreeBuf.COM
* s7 r+ ^& Q  I5 o( _2 e% C- k
8 X) g0 q; ?% |4 q0 h  K% X* I精彩推荐

9 b" h( `  J0 M1 h4 q6 T+ U+ B

0 n4 W. T, j$ v; h6 U$ ~
7 A6 B  Q& |, d
! ]/ T: ?+ B9 Y; X: u" g/ X
来源：http://mp.weixin.qq.com/s?src=11&timestamp=1570456804&ver=1898&signature=Q6vp7Bd3cFIQU7Q6opmU9JUrFveOY0EPbd6k0IPfkGL*V2gabfxqXk2HkDFhjlU4UGaBT0BjmV7PnUzNcW*Qc7s83TU-CCoZ1mgRyPptiY-feEJKNxEZoUsj2cz9nm08&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！