卡巴斯基:Mac OS 用戶網路威脅調查報告
介紹
幾十年來人們一直有一種觀念,認為macOS操作系統幾乎沒有任何網路威脅,或至少沒有嚴重的威脅。MacBook和iMac的用戶在對自身安全性上的信心程度堪比Linux用戶,我們必須承認,這種觀念在一定程度上是正確的——與基於windows的系統相比,針對macOS的威脅要少得多。不過,造成這種情況的主要原因是用戶數量上的差距較大:運行Windows的電腦比運行macOS的電腦多得多,隨著後者用戶數量的不斷攀升,這種情況可能會發生變化。近些年來,儘管蘋果公司也在做出種種努力,但針對蘋果設備的威脅還是在不斷增長。
本報告的數據基於卡巴斯基實驗室網路雲基礎架構的統計信息,來源於對卡巴斯基用戶的真實攻擊案例。
類別
網路釣魚
·在2019年上半年,我們檢測到近600萬次針對macOS用戶的釣魚攻擊事件,其中11.80%的目標用戶是企業用戶。
·遭受此類攻擊比例最高的三個國家分別是是巴西(30.87%)、印度(22.08%)和法國(22.02%)。
·以蘋果官方名義進行網路釣魚的攻擊事件每年增長30-40%。2018年,此類襲擊事件接近150萬起。截至今年6月,2019年網路釣魚攻擊次數已超過160萬次,同比增長9%。
惡意或潛在惡意軟體
·從2012年到2017年,經歷過惡意或潛在惡意程序攻擊的macOS用戶數量呈現逐年增長趨勢,每年約有25.5萬名用戶受到攻擊;然而從2018年開始,受攻擊用戶的數量開始走低,到2019年上半年,這一數字僅為8.7萬。
·自2012年以來,通過惡意或潛在惡意程序對macOS用戶發起的攻擊事件每年都在增加,2018年超過了400萬次;而在2019年上半年,我們登記在案的此類攻擊有180萬起。
·2019年針對macOS的絕大多數威脅都屬於廣告軟體的範疇,至於惡意軟體威脅,偽裝成Adobe Flash Player或更新的Shlayer則是最普遍的。
·有近四分之一受到過此類攻擊的客戶生活在美國。
數據和趨勢
一、針對Mac用戶的網路釣魚
我們收集了從2015年開始到現在針對macOS用戶的網路釣魚威脅的詳細統計數據。數據表明,對macOS用戶的網路釣魚攻擊事件呈現快速增長趨勢,2015年這個數字是85.2萬,2016年增長了86%,超過150萬次,而2017年則猛增至400萬次,到了2018年則超過730萬。通過下圖我們可以看到,僅在2019年上半年,就發生了5,932,195次攻擊,這意味著如果目前的趨勢繼續下去,到年底攻擊次數可能超過1600萬次。
圖1:2015-2019年,針對macOS用戶的網路釣魚事件的增長趨勢
在2019年上半年遭遇網路釣魚攻擊的企業macOS用戶所佔比例達到11.80%,與2018年同期的10.25%相比,這一比例略有上升。
1. 網路釣魚頁面主題
為了了解網路釣魚頁面的偽裝樣式,我們分析了最常見的幾類釣魚攻擊,以及受攻擊用戶的地理位置,並將結果與2018年同期的數據進行了比較。
2019年和2018年,網路釣魚頁面最常模仿的是銀行服務(2019年為39.95%,2018年為29.68%),第二類是一些比較受歡迎的全球互聯網門戶網站(2019年為21.31%,2018年為27.04%),社交網路在2019年排名第三(12.3%),網購頁面則在今年從第三掉到第四的位置(2018年為10.75%)。
表1:2018年上半年和2019年上半年,網路釣魚頁面主要類型佔比
2. 地理分布
在2019年上半年針對macOS用戶的網路釣魚攻擊中,巴西(30.87%)、印度(22.09%)和法國(22.02%)所佔比例最大,這一結果與2018年的相同。唯一的區別在於受到攻擊的用戶比例:卡巴斯基解決方案在巴西阻止了針對Mac用戶四分之一的攻擊(26.02%),在法國和印度分別是五分之一(20.86%和17.70%)。
表2:2018年上半年和2019年上半年,網路釣魚攻擊地理位置分布佔比
3. 偽造蘋果公司身份的垃圾郵件和網路釣魚攻擊
在macOS用戶面臨的網路釣魚攻擊中,我們會單獨關注某一類偽裝成蘋果官方身份的攻擊。2016年,這些偽裝還相對較少(75.5萬次),但在2017年,這一數字增長了近40%,超過100萬,一年後幾乎達到150萬。我們完全有理由相信,2019年將創造一個新的紀錄,因為僅在今年上半年,就有160多萬起攻擊事件的產生,這意味著到今年年底,相較去年至少會出現兩倍的增長。
圖2:2016-2019,偽裝成蘋果官方的網路釣魚攻擊次數
下圖是模仿蘋果官方網站的釣魚頁面示例。自然,這些釣魚攻擊最常見的目的是竊取用戶的蘋果id。
圖3:仿蘋果官方網站的釣魚網頁
這些網站的鏈接通常通過電子郵件發送,內容是收件人受到威脅,他們的帳戶將被鎖定,除非點擊該鏈接並登錄以確認其個人資料中指定的信息。
圖4:釣魚電子郵件示例
另一類郵件則是感謝用戶在App Store購買Apple設備或應用程序的消息,邀請客戶點擊釣魚頁面的鏈接來了解有關產品的更多信息(或取消購買)。 受害者需要輸入他們的Apple ID登錄名和密碼,當然,這些密碼將被發送給攻擊者。
4. 偽造惡意軟體檢測頁面
還有一種類型是偽造惡意軟體感染檢測通知頁面,這些頁面的設計各不相同,其中一些是非常高質量的,忠實地複製了蘋果官方網站的設計,通過誘導用戶安裝「殺毒軟體」來讓用戶感染上真正的惡意軟體。
圖5:釣魚網頁,偽造成惡意軟體檢測頁面
二、惡意或潛在惡意程序
在撰寫本文時,我們的資料庫中包含了206,759個針對macOS的惡意或潛在惡意程序,每年的增長情況如下圖所示。
圖6:2004-2019年針對macOS的惡意或潛在惡意程序
從圖中可以看出,截至2011年,每年檢測到的惡意文件數量還算是微不足道的,但隨後情況發生了變化:從2012年開始,文件數量開始逐年增加一倍。然而到了今年情況又有所變化,在2019年上半年,僅檢測到38,677個惡意或潛在惡意程序,這意味著今年的增幅可能不會超過去年。
為了確定近年來受惡意軟體攻擊的macOS用戶數量的變化,我們檢查了從2012年(數據首次系統化的時間)到現在的統計數據。與上圖中的情況非常相似,您可以看到2012年至2017年間遭受攻擊的用戶數量急劇增加。
圖7:2012年至2019年6月,受惡意軟體攻擊的macOS用戶數量
下圖粗略估計了惡意或潛在惡意軟體對macOS用戶每年的攻擊次數。
圖8:2012年至2019年6月,惡意或潛在惡意軟體對macOS用戶的攻擊次數
上圖清楚地顯示2018年發生的攻擊次數增加,而2019年的數據(前5個月的1,820,578次攻擊)表明今年的攻擊次數將降低。
1. 地理分布
為了了解macOS威脅的地理分布,並確定現在更有可能受到惡意軟體攻擊的區域,我們根據受攻擊的唯一用戶的比例編製了國家/地區的比例。下表是2018、2019年上半年各國家/地區的受攻擊比例。
2018年至2019年前三個國家保持不變:美國排名第一(24.4%),德國排名第二(14.6%),法國排名第三(12.4%)。
2019年威脅情況
以下是我們在2019年上半年觀察到的macOS的前十大威脅:
除了首次出現的Shlayer木馬(稍後說明),前十名中的其餘部分都是廣告軟體,廣告軟體的目標是在系統通知、網頁橫幅、搜索結果頁面、瀏覽器等中掛上廣告污染你的眼球。雖然不會主動傷害用戶,但不會在用戶使用時帶來良好的體驗。
圖8:安裝的某些廣告軟體示例
具體來說,AdWare.OSX.Bnodlero家族更喜歡使用瀏覽器:此軟體會安裝廣告拓展,並更改默認搜索引擎和主頁,此外還可以下載和安裝額外的廣告軟體。
AdWare.OSX.Pirrit家族中的一些要更進一步,除了上述功能,還會在計算機上安裝代理伺服器以攔截來自瀏覽器的流量。Agent.b家族與之非常相似。當不忙於下載,解壓和啟動文件時,Agent.b會將帶有廣告的JS代碼注入網頁中。
還有AdWare.OSX.Cimpli家族。乍一看它與其他廣告軟體沒有什麼不同,但是它的表現得更加狡猾,並且如果它們在macOS中檢測到有安全解決方案的話,則會轉成不活動狀態。
圖9:AdWare.OSX.Cimpli樣本轉成不活動狀態
當用戶卸載安全產品後,AdWare.OSX.Cimpli又會醒來開始工作。
Trojan-Downloader.OSX.Shlayer系列則是下載和安裝各種廣告軟體,主要都是來自Bnodlero家族(這也是Bnodlero排名第二的原因之一)。Shlayer分布廣泛,如果你搜索可以免費觀看或下載流行電影電視劇的網站,那麼排名前幾的搜索結果中都很可能要求你更新Flash Player後才能查看內容,這些更新中就包含了Shlayer。
圖10:此頁的鏈接帶有Shlayer
請注意,這種在查詢的搜索結果中將鏈接推送到惡意頁面的技術也被其他惡意軟體的分發者使用。不久前就有不少《權力的遊戲》和其他熱門電視劇粉絲遭受過這種攻擊。
圖11:誘導用戶更新Flash Player來下載惡意軟體
從技術角度來看,Shlayer並不特別。它的主要可執行文件是一個Bash腳本,只包含四行代碼。它所做的就是解密並運行它帶來的另一個文件,然後下載,解密和執行另一個文件。最後,此惡意軟體會嵌套安裝了幾個廣告軟體,將它們隱藏,並在啟動時註冊運行。
圖12:Shlayer木馬的主要可執行文件只是嵌套的外層
我們在今年上半年遇到的另外兩個惡意軟體系列是Trojan.OSX.Spynion和Trojan-Downloader.OSX.Vidsler。兩者都遠不像Shlayer那樣受歡迎,只有不到百分之一的用戶遇到過。然而,它們每個都有各自欺騙用戶的方法,兩者都值得關注。
Trojan.OSX.Spynion木馬與幾個免費的macOS應用程序一起發布,主要來自MacUpdate,VersionTracker和Softpedia等網站。當應用程序安裝在受害者的計算機上時,會下載並安裝惡意組件。Spynion的主要目標是監控網路上的用戶活動,並將截獲的機密數據傳輸到攻擊者的伺服器。該木馬還具有後門功能,即它允許攻擊者遠程連接到用戶的macOS。
Trojan-Downloader.OSX.Vidsler是通過橫幅廣告鏈接發布的,這次是要求用戶更新視頻編解碼器或下載新版本的視頻播放器。在功能方面,Vidsler與Shlayer類似:下載、安裝和運行其他軟體(通常來自FkCodec AdWare家族)。
最後,我們本應該要指出幾個危險程度最高的木馬。比如Trojan-Ransom.OSX.KeRanger勒索軟體木馬能加密驅動器上的所有用戶文件,並要求贖金來解密,眾所周知,該惡意軟體是通過Transmission torrent客戶端的官方網站發布的;另一個例子是Trojan-Spy.OSX.Ventir木馬,它具有複雜的模塊化架構,不僅包含遠程訪問受害者macOS的後門,還包含一個鍵盤記錄器。幸運的是,它們在野都並不常見。
MacOS和有針對性的攻擊
關於macOS威脅的統計數據提供了相當有說服力的證據,說明這個操作系統的完全安全性不過如此。而且在過去的幾年裡,我們至少8次看到了專門為MacBook、iPhone或其他蘋果設備設計的惡意軟體。
由於Apple的防病毒軟體政策的性質,卡巴斯基產品線不包含iOS安全解決方案。我們也沒有關於此操作系統的威脅的統計信息。但是,除了針對Android的惡意軟體,卡巴斯基的研究人員也遇到了針對iOS的惡意植入。
接下來,我們將概述在2018年和2019年間,針對macOS和iOS平台的一些值得注意的攻擊。
·適用於iOS的Skygofree植入程序(2018年1月)
我們在發現Skygofree Android植入後不久也發現了其iOS植入程序,是在對Skygofree基礎設施進行分析後發現的,由iOS的幾個配置文件(MobileConfig)組成,用於在MDM伺服器上註冊設備。
·Sofacy XAgent(2018年3月)
Sofacy是最專業的網路間諜組織之一,該組織使用的工具之一是XAgent,它是一組共享公共代碼庫的惡意軟體,每個樣本都經過單獨修改以感染特定的操作系統,包括macOS和iOS。但是,最新檢測到的iOS惡意軟體版本可追溯到2014年底和2015年初。這可能意味著網路犯罪分子(至少暫時)對iPhone和iPad失去了興趣。
·Bahamut相關植入程序,適用於iOS和Windows(2018年7月)
在研究Skygofree的iOS版本時發現的,它利用Intrepidus團隊對蘋果MDM系統的研究結果來攻擊iOS設備。我們已經發現了幾台可能屬於Bahamut組織的伺服器,自2017年以來一直處於活動狀態。
·AppleJeus行動(2018年8月)
在調查Lazarus組織對加密貨幣兌換服務的攻擊時,我們發現攻擊者通過鏈接到惡意macOS加密貨幣交易應用程序向潛在受害者發送消息。
·ThreatNeedle和Manuscrypt(2018年10月)
在2018年,我們還發現Lazarus組織專門使用的另一種惡意軟體——Manuscrypt。此惡意軟體與之前的行動中的樣本明顯不同,因此我們給它們一個新名稱:ThreatNeedle。
·Windtail(2018年12月)
Dark Matter在2018年8月發布了關於Windshift組織的調查結果後不久,我們對該組織進行了自己的調查,注意到了一個名為Windtail的macOS惡意軟體。
·來自Lazarus的新macOS惡意軟體(2019年1月)
AppleJeus運營六個月後,我們發現新的Lazarus活動表現出類似的特徵:金融行業的公司遭到重創,並且在攻擊期間再次使用了以前未知的macOS惡意軟體。
·來自FinSpy的新iOS植入版本(2019年中)
2018年底,我們在野發現了一個新版本的FinSpy iOS植入程序,由著名的間諜軟體開發商FinSpy Mobile開發。
結論
MacOS惡意軟體從2004年發展至今已經超過數十萬種,然而爆炸式增長的時代似乎已經過去,網路犯罪活動也在減少。與Windows用戶相比,macbook和iMacs的用戶從未被認為是優先攻擊目標,因為Windows用戶的數量要多得多,攻擊後者總是更有利可圖。此外,Windows存在大量已知和不太知名的漏洞,再加上Windows用戶往往不定期安裝更新,使得網路罪犯更容易、更方便地感染Windows系統。
雖然MacBook和iMac用戶收到的廣告越來越煩人,但在大多數情況下,廣告相對無害。相比之下,為macOS創建完整的惡意軟體則要複雜得多,成本也高得多。造成這種情況的原因是潛在受害者較少以及蘋果公司為保護其客戶所做的努力。
網路釣魚和利用社交軟體詐騙現在也在上升,是另一個低成本威脅的例子。攻擊者主要針對用戶的Apple id, id是用戶訪問蘋果設備的關鍵,而且相對容易變現。攻擊者可以賣給其他人。也許這類數據的盜竊現在是macOS用戶面臨的最危險的威脅,此外,我們的統計數據顯示,這種類型的攻擊很可能在不久的將來上升。
另一種極其危險(但也是極其罕見)的威脅是針對macOS和iOS用戶(主要是業務用戶)的目標攻擊。一些知名的網路犯罪組織目前正在為這些操作系統開發惡意軟體,但隨機用戶成為此類程序目標的可能性極小。然而,如果你在一家金融機構工作,比如銀行,而你的MacBook或iPhone是公司設備,那麼你成為目標的幾率就會大大增加。在這種情況下,我們建議您尋找一個可靠的安全解決方案。我們預計在2019年至2020年間,針對macOS和iOS設備的針對性攻擊數量將會增加。
為確保您的設備在MacOS上安全,卡巴斯基建議:
盡量保持macOS和所有應用程序的最新狀態;
僅使用合法軟體,從官方網頁下載或從Mac App Store安裝;
開始使用可靠的安全解決方案,如卡巴斯基互聯網安全解決方案,可在Mac以及PC和移動設備上提供高級保護;
僅從Appstore等官方資源下載並安裝應用程序;
如果您需要訪問iCloud,例如在丟失時找到您的手機,請僅使用官方網站。
為降低企業MacOS用戶的風險,卡巴斯基建議公司採取以下措施:
為員工實施安全意識培訓,解釋如何識別和避免潛在的惡意應用程序或文件。例如,員工不應從不受信任或未知來源下載和啟動任何應用程序或程序;
使用專門針對MacOS和iOS保護的安全產品。
參考來源:
https://securelist.com/threats-to-macos-users/93116/
作者:Mikhail Kuzin,Tatyana Shcherbakova,Tatyana Sidorina,Vitaly Kamluk
