Minden, amit a Silver Sparrow malware-ről tudnia kell

Körülbelül egy hónapja érkezett az egyik legérdekesebb hír az Apple-ről és konkrétan az M1 Macről. Ez a történet a Silver Sparrow malware körül forog, egy rejtélyes számítógépes vírus, amely nem adott nekünk új választ, annak ellenére, hogy az írás idején több mint egy hónapos volt.

Ebben a bejegyzésben mindent bemutatok, amit a Mac-tulajdonosoknak tudniuk kell erről a rosszindulatú programról, beleértve azt is, amit mi tudni róla, ha veszélyben van, hogyan lehet megállapítani, hogy fertőzött-e, és hogyan lehet megelőzni a hasonló támadásokat jövő.

Vágjunk bele!

Mi az a Silver Sparrow rosszindulatú program?

Az Ezüst Veréb sztori 2021. február 22-én tört meg, bár a kutatások már januárban elkezdték feltárni. A Red Canary néven ismert kiberbiztonsági cég (milyen ironikus) volt az első, aki észlelte.

A Red Canary szerint a Silver Sparrow rosszindulatú program (amelynek két változata van) először 2020 augusztusában élénkült meg. Ezt az első verziót arra tervezték, hogy megfertőzze az x86 architektúrájú Maceket. 2020 decemberében egy új verzió kezdett megjelenni, amely fertőz M1 Mac.

2021 januárjában és februárjában a Red Canary észlelte a Silver Sparrow első és második változatát megtámadta, és figyelmeztetni kezdte a közvéleményt, abban a reményben, hogy „szárnyait vágja”, mielõtt esélye lett volna bármit is tenni. kár.

Olvasásra ajánlom a Vörös Kanári teljes leírása további információért.

még mindig nem értem…

Röviden, a Silver Sparrow egy számítógépes vírus, amelyet kifejezetten az új M1 Mac-ek megfertőzésére fejlesztettek ki. Ez nagy dolog, mivel ezeket a Mac-eket az Apple számítógép-kínálatának jövőjeként hirdetik.

Éppen ezért, amikor a történet először kirobbant, vírusos lett. Egy ilyen léptékű sebezhetőség (több tízezer Mac számítógépről számoltak be, ami fertőzött, ami azt jelenti, hogy még több tízezer még mindig tudatlanul megfertőződik) képes teljesen tönkretenni az összes új M1-es vásárlást, és tönkretenni az újakba vetett bizalmat. gépek.

Tehát ez az alapja annak, hogy miért olyan nagy dolog ez, és miért van több aggodalom körülötte, mint egy tipikus Mac-vírus. Sok olyan számítógépet fertőzött meg, amelyek csak néhány hónapja vannak a piacon úgy kell elhelyezni, hogy pusztító hasznos terhet tudjon szállítani a fertőzött számítógépekre, és elterjedjen gyorsan.

Hogyan fertőzi meg a Silver Sparrow a Mac-et?

Ez az egyik leglenyűgözőbb része az egésznek:

Senki sem tudja, hogyan fertőzte meg a Mac-eket (még).

Úgy tűnik, a Silver Sparrow Malware a semmiből jelent meg. És bár a Red Canary mérnökeinek van néhány elmélete, az igazság az, hogy egyelőre fogalmunk sincs, honnan származik ez a vírus, vagy hogyan került a felhasználók számítógépére.

Az általános elmélet (a cikk írásakor) az, hogy valószínűleg rosszindulatú keresőmotor-eredményekből származott (Vörös Kanárinként). Ez azt jelenti, hogy a felhasználók valószínűleg olyan keresőmotort használtak, mint a Google, rákattintottak egy rosszindulatú linkre a találatok között, majd röviddel ezután a Silver Sparrow csomag telepítve lett a Mac-re.

Azt azonban nem tudni, hogy mi kezdeményezte a fertőzött Macek letöltését. Véleményem szerint (íróként, nem biztonsági szakértőként) ez a leginkább aggasztó szempont a támadásban. Mert ha nem tudod, hogyan telepítették vagy honnan jött, akkor a felhasználók és az Apple számára nagyon nehéz lesz megakadályozni, hogy ez megismétlődjön.

Veszélyes a Silver Sparrow kártevő?

Nem – de akkor is aggódnia kell. Sok elemzés után úgy tűnik, hogy nem történik semmi rosszindulatú a Silver Sparrow malware-ben. Emiatt néhányan megkérdőjelezik, hogy valóban „rosszindulatú programnak” nevezhető-e, ha nincs rosszindulat, de erre később kitérek.

Másrészt naivitás lenne azt feltételezni, hogy pusztán azért, mert ez egy jóindulatú rosszindulatú támadás, nincs ok az aggodalomra. Még mindig egy nagy vírus, gyors fertőzési rátával és nagy sikerrel. Az Ezüst Sparrow könnyen pusztítást végezhetett volna – csak szerencsénk volt, hogy nem.

A Silver Sparrow szoftverben a „szándékhoz” legközelebb álló dolog a benne hagyott üzenetek. A Silver Sparrow első verziójában, amely az x86-os Mac-eket célozta meg, egy bináris fájlt találtak, amely a „Hello, World!” üzenetet tartalmazza. A második M1-es verzióban egy másik binárist találtak „Te csináltad!” üzenettel.

Miközben „Helló, világ!” A programozásban gyakran használt kifejezés, nehéz figyelmen kívül hagyni a nyugtalanító felhangot. Végül is ez egy rosszindulatú támadás, amely felkeltette a globális figyelmet. És az ominózus szavak: „Te csináltad!” messze vannak a vigasztalástól.

Egyesek úgy vélik, hogy a Silver Sparrow sikertelen kísérlet volt a Mac számítógépek megfertőzésére. Az ötlet az, hogy a hiányzó rakomány (azaz a felhasználók fenyegetése) bizonyítéka annak, hogy aki kiküldte, biztosan elfelejtette feltüntetni a hasznos terhet. Bár egy kicsit szórakoztató megfontolni, a rosszindulatú program hatékonysága és eredményessége miatt ez valószínűtlennek tűnik.

Az Apple javította a Silver Sparrow kártevő problémát?

Az Apple javította a Silver Sparrow rosszindulatú programját. Ha ez még nincs meg a Mac-en, akkor nem fog megfertőzni. Az Apple szinte azonnal visszavonta azoknak a fejlesztői fiókoknak a tanúsítványát, amelyek aláírták a Silver Sparrow csomagokat, megakadályozva, hogy többet telepítsenek a macOS gépekre.

Egyszerűbben fogalmazva, az Apple nagyon szigorú szabályokat ír elő arra vonatkozóan, hogy mit lehet és mit nem telepíthet a Mac-re. Gyakori panasz az Apple ellen, hogy a fejlesztőknek speciális licencekkel kell rendelkezniük, és speciális eszközöket kell használniuk a macOS-hez való alkalmazások fejlesztéséhez.

E szabályok miatt a Silver Sparrow szoftvert hitelesített Apple fejlesztői fiókkal kellett „aláírni”. Az Apple azonosította a támadáshoz használt fiókokat, és visszavonta azok érvényességét, így a Silver Sparrow ezen példányát megállította.

Biztos vagyok benne, hogy az Apple az elmúlt hónapban a színfalak mögött is dolgozott a macOS és a következő M1 chip (M2?) átdolgozásán, hogy ez ne fordulhasson elő újra. Ennek ellenére tudnia kell, hogy az Apple csak megállította a Silver Sparrow támadások jelenlegi hullámát. A támadás körüli információk hiánya miatt a jövőben is alkalmazhatók hasonló stratégiák.

Hogyan állapítható meg, hogy van-e Silver Sparrow kártevő a Mac számítógépén

Mivel úgy tűnik, hogy a Silver Sparrow jelenleg nem csinál semmi rosszindulatú dolgot, nehéz lehet megállapítani, hogy a Mac számítógépe fertőzött-e anélkül, hogy mindent megtenne az ellenőrzés érdekében. Ezenkívül a Silver Sparrow felfedezésének fő módja a Mac számítógépen nem garantáltan működik, bár a felhasználók túlnyomó többségénél működik.

Megtalálni a ._insu fájlt

Az első módszer a keresésre, hogy keressen egy fájlt a saját mappájában Könyvtár című mappa ._insu. Általában ez az egyetlen fájl, amelyet a legtöbb felhasználó talál, mivel ez a fájl utasítja a Silver Sparrow kártevőt, hogy törölje magát a Mac számítógépről.

Alapértelmezés szerint a Könyvtár mappa el van rejtve előled. Ennek az az oka, hogy rengeteg érzékeny fájl és mappa van benne, és az Apple nem akarja, hogy a felhasználók véletlenül összetörjék a Mac-jüket. Figyelmeztetés: ne töröljön, helyezzen át vagy más módon módosítson semmit ebben a mappában! Csak azt nézi, hátha ._insu van.

Ehhez nyissa meg Kereső. A menüsorban egy legördülő menünek kell megjelennie Megy. Kattintson erre a menüre, majd tartsa lenyomva a gombot választási lehetőség kulcs. Ez okozza a rejtett Könyvtár mappa jelenik meg.

Ha erre kattint, bejut a sajátjába Könyvtár mappát. Ha ott van, görgessen végig, és ellenőrizze, hogy vannak-e felcímkézett fájlok ._insu. Nem kell átnéznie a mappában található mappák közül Könyvtár mappát. Ha nem látja itt, akkor biztonságban kell lennie.

Harmadik féltől származó kártevő-érzékelő használata

Mint említettük, a fenti módszer nem mindenkinél működik. Ha nem látja a ._insu fájlt, akkor azt mondanám, hogy valószínűleg biztonságban vagy. De ha igazán biztosra akar menni, és nincs tapasztalata az ilyesmiben, akkor harmadik féltől származó megoldás használatát javaslom.

Kimondottan, Malwarebytes jó lehetőség. Amellett, hogy egy általánosan ajánlott szoftver, a Red Canary közvetlenül a Malwarebytes-szel dolgozott, hogy képet kapjon arról, hány Mac-felhasználó fertőződött meg Silver Sparrow-val. Tehát a Malwarebytes kifejezetten a Silver Sparrow kártevő észlelésére van beállítva.

Két hétig ingyenesen telepítheti a Malwarebytes-t Mac számítógépére, ami bőven elegendő idő ahhoz, hogy megállapítsa, van-e Silver Sparrow a Mac-en. Ezt követően mindössze 3,33 USD/hó áron tarthatja a Mac-en. Nem a Malwarebytes szponzorál, ez csak egy szilárd alkalmazás.

Továbbra is megfertőzheti Mac gépét Silver Sparrow (2021. április 5.)?

Mindenki legjobb tudása szerint nem! Továbbra sem szerezheti be a Silver Sparrow kártevőt Mac számítógépére. Ha még nincs meg, akkor már indulhat is. A Silver Sparrow hírének kirobbanása utáni napon az Apple visszavonta a Silver Sparrow szoftvert aláíró fejlesztői fiókok tanúsítványait.

Ez azt jelenti, hogy a Silver Sparrow nem telepíthető a Mac számítógépére a háttérben. Az Apple nem engedélyezi az aláíratlan szoftverek telepítését Mac-re rendszergazdai engedély nélkül. Tehát ne telepítsen semmit aláírás nélkül (amit egyébként sem szabad megtennie), és biztonságban lesz a Silver Sparrow jelenlegi verziójától.

Malware vs. A koncepció bizonyítása: Az ezüstveréb megértése

Ahogy a cikk végéhez közeledünk, szeretnék egy pillanatra kifejteni néhány ötletet, rejtélyt, és a Silver Sparrow rosszindulatú program körüli aggodalmak, mert minden szempontból nagyon érdekes incidens.

Először is szeretném kitérni a különbségre a rosszindulatú programok és a koncepció bizonyítása között. Az első, a „rosszindulatú program” kifejezés, amelyet a legtöbben a Silver Sparrow-ra alkalmaztak. A rosszindulatú programok rosszindulatú szoftverekre utalnak (innen ered a név). Tehát ha nincs egyértelmű rosszindulat, akkor a Silver Sparrow valóban rosszindulatú program?

És ezzel el is jutok a második ponthoz, ami az, hogy jelentős számú ember elmélete szerint az Ezüst Sparrow csak a koncepció bizonyítéka lehet. A proof of concept egy olyan alkalmazás, amely bizonyítja, hogy valamit meg lehet tenni – és ennyi.

Például, ha olyan alkalmazást ír, amely a gépelési stílusa alapján számítja ki a felhasználó életkorát, de nem adta el, vagy nem implementálta más alkalmazásba, akkor ez a koncepció bizonyítéka. Bebizonyítanád, hogy ez az elmélet már lehetséges és végrehajtható.

Első pillantásra úgy tűnik, hogy a Silver Sparrow bizonyítéka lehet annak, hogy a koncepció elromlott, kiküldték és elterjedték, amikor nem volt szándékos. Más szóval, ez a „támadás” csak egy programozó kísérletezett.

Ez nem jelenti azt, hogy a Silver Sparrow nem is rosszindulatú program. A rosszindulatú programok egyik alapvető definíciója egy olyan szoftver, amely illetéktelenül hozzáfér egy személy számítógépéhez. Ezüst Sparrow ezt csinálja.

Sok szakértő azonban úgy véli, hogy a fogalomelmélet bizonyítása ebben az esetben valószínűtlen, tekintettel arra, hogy az ezüstveréb mennyire elterjedt. Valószínűbbnek tartják, hogy Silver Sparrow-nak még mindig van valamilyen mögöttes indítéka, amiről még nem tudunk, vagy hogy fenyegetésnek szánták, de kudarcot vallott.

A Silver Sparrow nem az első alkalom, hogy ilyen támadás az Apple-t célozza

Fontos megjegyezni, hogy nem ez az első alkalom, hogy ilyen mértékű rosszindulatú programtámadás célozza az Apple-t. A Silver Sparrow kártevő minden bizonnyal az egyik titokzatosabb példány, de az Apple korábban is szembesült már ehhez hasonló kihívásokkal.

Valójában egy M1-specifikus kártevőt fedeztek fel mindössze négy nappal azelőtt, hogy a Red Canary csapata közzétette a Silver Sparrow-val kapcsolatos megállapításait. Ez a korábbi rosszindulatú program, melynek címkéje "GoSearch22“, ez inkább a malom. A Mac gépén hirdetéseket helyez el a rosszindulatú webhelyekre, és érzékeny adatokat gyűjt a háttérben.

Ezenkívül a Silver Sparrow legalább a hatodik nagyobb közjegyzői hiba az Apple-től. Ez azt jelenti, hogy korábban hatszor az Apple automatizált közjegyzői eljárása nem észlelte a rosszindulatú programokat, és lehetővé tette, hogy azok telepítődjenek a felhasználók eszközeire.

És most az Apple megkönnyítette Ahhoz, hogy a fejlesztők x86-on és M1-es Mac-eken futó alkalmazásokat készítsenek, sok rosszindulatú program- és vírusfejlesztő arra számíthat, hogy ezekkel az eszközökkel készíti el kártevőik M1-kompatibilis verzióit.

Röviden, a rosszindulatú programok és a vírusok nem jelentenek újdonságot. A Silver Sparrow csak egy emlékeztető, hogy vegye komolyan ezeket az aggodalmakat, és a lehető legjobban védekezzen a támadások ellen.

Hogyan védheti meg Mac számítógépét a rosszindulatú programok ellen a jövőben

És ezzel el is érkeztünk a cikk végére: Védd magad az olyan támadások ellen, mint a Silver Sparrow kártevő a jövőben. Számos módja van ennek, bár meg kell jegyezni, hogy ha valaki valóban meg akarja zavarni a Mac-et, megtalálja a módját. A lockpicker megállításához hasonlóan nem állíthatja le teljesen a kísérletet, csak mindent megtehet, hogy megakadályozza az eszköze elleni támadást.

A Mac számítógépek rosszindulatú támadásai elleni védelmének kutatása során mindig ugyanazt a tanácsot kaptam: Ne telepíts víruskeresőt!

Először azt hittem, hogy ez csak egy maroknyi túlságosan magabiztos felhasználó. Ám alaposabb kutatás után úgy tűnik, hogy a Mac biztonsági tanácsadóinak jelentős része úgy gondolja, hogy a vírusirtó többet árt, mint használ. Zavarja a felhasználókat, pénzbe kerül, könnyen elavulttá válik, és sok processzort fogyaszt, lelassítva a Mac számítógépet.

Ehelyett azt a tanácsot kaptam, hogy telepítsek egy rosszindulatú program észlelő alkalmazást (mint a Malwarebytes). Ezek az alkalmazások önmagukban nem akadályozzák meg, hogy bármi is megtörténjen, ehelyett tisztán tartják a Mac-et, segítenek elkerülni a kockázatos webhelyeket, és értesítik, ha bármi rossznak tűnik a Mac-en.

Ez a biztonságos szokásokkal párosulva a legtöbb felhasználó számára elegendő. Ne telepítsen semmit a számítógépére, amiről nem biztos, hogy biztonságos, ne kalózkodjon vagy ne torrentezzen, ne ragaszkodjon megbízható webhelyekhez, ne kattintson a hirdetésekre vagy a nagy zöldre Letöltés gombokat, és kerülje a pornográf internetes üzleteket. Ha mindezt megteszi, és rosszindulatú programokat észlelő alkalmazást használ, akkor minden rendben van.

Úgy tűnik, a Silver Sparrow kártevő-történet véget ért – egyelőre!

Utálom baljós hangon befejezni a dolgokat, de az igazság az, hogy még a szakértők is korlátozottan értik, mit ez a szoftver megtette, honnan jött, miért hozták létre, és ha hasonló támadást terveznek a háttér.

Ezen okok miatt azt javaslom, hogy mindenki figyeljen oda, legyen óvatos az internethasználatával kapcsolatban, és legyen naprakész a AppleToolBox blog így mindig értesülhet a Mac-ről.

A következő alkalomig!