Mac’inizin herhangi bir üçüncü taraf yazılım olmadan hangi kötü amaçlı yazılımları tespit edip kaldırabileceğini hiç merak ettiniz mi? Son zamanlarda güvenlik araştırmacıları, yerleşik XProtect paketi tarafından kullanılan bazı tuhaf macOS YARA kurallarını genel adlarıyla ilişkilendirdiler. İşte aradığı kötü amaçlı yazılımlar…
XProtect nedir?
XProtect 2009 yılında macOS X 10.6 Snow Leopard’ın bir parçası olarak tanıtıldı. Başlangıçta, bir yükleme dosyasında kötü amaçlı yazılım tespit edilmesi durumunda kullanıcıları tespit etmek ve uyarmak için piyasaya sürüldü. Ancak zaman içinde,
Apple platformunda artan kötü amaçlı yazılım sorununu ele almaya devam ettikçe bir araç paketi haline geldi.
XProtect paketi, kötü amaçlı yazılımları tespit etmek ve ortadan kaldırmak için YARA imza tabanlı tespit özelliğini kullanır.
YARA, kötü amaçlı yazılım araştırmacıları tarafından oluşturulan ve farklı kötü amaçlı yazılım ailelerinde bulunan kod benzerliklerine dayalı olarak kötü amaçlı yazılımları tanımlayarak çalışan popüler bir açık kaynak aracıdır.
Apple, güvenlik güncellemeleriyle bu havuza sık sık eklemeler yapmaktadır.
macOS 14 Sonoma’dan itibaren XProtect üç ana bileşenden oluşmaktadır:
- XProtect, bir uygulama ilk kez başlatıldığında, değiştirildiğinde veya imzalarını güncellediğinde YARA kurallarını kullanarak kötü amaçlı yazılımları algılar.
- XProtectRemediator (XPR), CPU üzerinde minimum etkiye sahip olan düşük etkinlik dönemlerinde düzenli olarak YARA taramaları gerçekleştirerek kötü amaçlı yazılımları tespit edebilir ve kaldırabilir.
- XProtectBehaviorService (XBS) macOS’un son sürümüyle birlikte eklenmiştir ve kritik kaynaklarla ilgili olarak sistem davranışını izler.
XProtectRemediator (XPR) şu anda neredeyse aynı anda çalışan 23 tarama modülünden oluşmakta.
Ne yazık ki, çoğu dışarıdan bakıldığında pek bir anlam ifade etmeyen genel veya dahili adlandırma şemalarına sahiptir.
“XProtect’in düzeltici kısmı bir dizi yürütülebilir dosyaya sahiptir… her biri belirli bir kötü amaçlı yazılım ailesini hedeflemektedir” diyen kötü amaçlı yazılım araştırmacısı Alden’e göre, yakın zamanda tersine mühendislik yaparak ve dört tarama modülünü, yani düzelticileri tanımlayarak önemli ilerlemeler kaydetmiştir.
“Bazı kurallar Pirrit reklam yazılımı için bir imza olan XProtect_MACOS_PIRRIT_GEN gibi anlamlı isimlere sahipken, diğerleri genel (XProtect_MACOS_2fc5997) veya Apple için dahili (XProtect_snowdrift).” Alden, Github’da daha fazla ayrıntıya giriyor.
Bunun iyi bir nedeni olsa da, XPR’nin tam olarak hangi kötü amaçlı yazılımı aradığını merak edenler için zor olabilir.
XProtect’i nasıl bulabilirim?
Protect, macOS’in her sürümünde varsayılan olarak etkindir. Ayrıca sistem düzeyinde, tamamen arka planda çalışır, bu nedenle herhangi bir müdahaleye gerek yoktur. Ama işte bulunduğu yer:
- Macintosh HD’de Kütüphane > Apple > Sistem > Kütüphane > CoreServices’e gidin
- Buradan, XProtect üzerine sağ tıklayarak düzelticileri bulabilirsiniz
- Ardından Paket İçeriğini Göster’e tıklayın
- İçindekiler > Kaynakları Genişletin
- MacOS’i açın
XProtectRemediator hangi kötü amaçlı yazılımları kaldırabilir?
Alden’in yeni ve mevcut bulgularını kullanan The Eclectic Light Company, XPR’nin mevcut sürümündeki 23 tarama modülünden 14’ünün bir listesini ve bunların genel kötü amaçlı yazılım adlarıyla nasıl ilişkili olduğunu paylaştı. İşte bunlardan birkaçı:
- Adload, 2016’ya kadar uzanan ve hızlı değişim geçmişine sahip eski bir reklam yazılımı ve paket yazılım yükleyicisidir ve statik algılamadan kaçmasını sağlar. Normalde ~/Library/LaunchAgents/ dosyasına yüklenen sahte bir hizmet aracılığıyla kalıcılık sağlar ve Phil Stokes burada daha ayrıntılı bilgi vermektedir.
- BadGacha tanımlanamamıştır, ancak kötü amaçlı olmayan uygulamalardaki yardımcı uygulamalar için sıklıkla yanlış pozitifler bildirir.
- BlueTop, 2023’ün sonlarında Kaspersky tarafından araştırılan bir Trojan-Proxy kampanyasının parçası olan sahte bir WindowServer uygulamasıdır.
- ColdSnap daha çok SimpleTea olarak bilinir ve 3CX tedarik zinciri saldırısının bir parçası olan platformlar arası bir bileşendir.
- Crapyrator, MarsEdit, DaisyDisk ve SpamSieve gibi kırılmış uygulamaların birçok torrentinde bulunan BkDr.Activator olarak tanımlanmıştır. Karmaşık yöntemler kullanır, karakteristik olarak Activator.app’i ana Uygulamalar klasörüne yükler, bir şifre ister ve bunu Gatekeeper kontrollerini devre dışı bırakmak için kullanır, ardından izlerini gizlemek için Bildirim Merkezi’ni öldürür. Daha fazla ayrıntı burada verilmiştir.
- DubRobber daha genel olarak XCSSET olarak bilinir, tespit edilmekten kaçmak için sık sık değişen çok yönlü ve rahatsız edici bir Truva atı damlasıdır.
- Eicar aslında kötü amaçlı bir yazılım değil, tespit yöntemlerinin kötü amaçlı olmayan standart bir testidir.
The Eclectic Light Company’nin tam listesine bakmanızı şiddetle tavsiye ederiz. Apple’ın dahil ettiği bazı güvenlik süreçlerini görmek göz açıcı.
Bununla birlikte, kullanıcılar Apple’ın XProtect paketine tamamen güvenmemelidir, çünkü bu paket bilinen tehditleri tespit etmek için üretilmiştir.
Daha gelişmiş ya da sofistike saldırılar tespit edilmeyi kolayca atlatabilir. Üçüncü taraf antivirüs yazılımı kullanmaya devam edin.
İlgili web sitesi : https://eclecticlight.co
Security Bite Hakkında: Security Bite, 9to5Mac’te haftalık olarak yayınlanan güvenlik odaklı bir köşe yazısıdır. Arin Waichulis her hafta veri gizliliği hakkında içgörüler sunuyor, güvenlik açıklarını ortaya çıkarıyor ve Apple’ın 2 milyardan fazla aktif aygıttan oluşan geniş ekosisteminde ortaya çıkan tehditlere ışık tutuyor. Güvende kalın, güvende kalın.
İlk yorum yapan siz olun