2014年 Sep月 29日
针对OS X的恶意软件演变
是否存在任何针对(Mac)OS X操作系统的恶意软件?
的确存在。但不知道为什么,我有好一阵子没有谈到有关这一领域的有趣话题了…
上一次是两年半前,当时正值全球Flashback蠕虫爆发之际,全球范围内总共感染了70多万台Mac计算机。整个安全行业为此而争论不休(并很快就解决了Flashback僵尸病毒问题),但自那以后–整个行业一下子安静了下来…有关针对Mac恶意软件前沿的争论也似乎平静了许多,几乎没有什么iMalware(模仿苹果产品命名规则的恶意软件)对苹果设备的安全性再次”发起挑战”…
但事实证明他们错了…
当然,如果你将从不同平台挑选的一些恶意软件进行威胁等级比较的话,毫无疑问使用范围最广的平台–微软Windows一定”遥遥领先”。但与相对的”新进者”的安卓系统相比依然”逊色不少”。的确,在过去的3年,网络病毒对可怜的”绿色小机器人”大肆攻击,同时恶意行为数量呈指数级上升态势。与此同时,在iPhone和iPad方面,除了屈指可数的网络间谍攻击外,几乎没有什么实质性成功的攻击案例(除了采用各种奇异方法)。Mac计算机的情况也差不太多–与其他平台相比相对平静许多;但就在最近形势似乎有些改变…平静的表象下似乎暗潮涌动–关于这一内容我将在本篇博文中详细讨论。
简单总结如下:
- 最近几年,已检测出数千种针对Mac计算机的恶意软件案例
- 在2014年前8个月,总共检测出25种针对Mac计算机的恶意软件
- 未受任何保护的Mac计算机感染针对Mac恶意软件的比率已上升至3%左右
仅在2013年一年,@卡巴斯基检测出大约1700个针对OS X的恶意软件样本
如果你从内部深入了解目前形势的话,作为一名恶意软件专家的角度来看,情况并不容乐观…
针对Mac计算机的威胁已有所改变,用户对于Mac安全性的观点也悄然发生转变(但转变并不太多),那其中的主要问题我们能否在未来预计到呢?让我们开始吧,只用数据和事实说话,公正没有任何偏袒地进行分析。如果你想发表公正且不带任何感情色彩的评论–来吧,别客气!
首先– 最前沿的报告。
那么在最近几年,针对Mac计算机威胁的领域到底发生了什么?我将从下面这个图表开始阐述我的观点。该图显示了在过去几年我们所发现的针对OS X操作系统的恶意文件的数量。
如上图所示,就在4年之前,我们所”捕获”的恶意软件数量仅为50个,但到了2011年,数量陡然上升,从那以后每年检测出的恶意病毒从数百种激增至数千种。
那么我们到底”捕获”了哪些病毒呢?
在今年前8个月,我们总共检测出近1000种针对Mac计算机的不同攻击,总共可以分为25大类。下面将简要介绍其中用户最为感兴趣的几种类型:
- Backdoor.OSX.Callme – 在精选制作的MS Word文档内传播,文档开启后即会通过漏洞在系统中安装后门,从而使攻击者能够远程访问系统。同时还会窃取通讯录,这显然是为了搜寻新的受害者。
- Backdoor.OSX.Laoshu – 它每分钟会截屏一次,以开发者的受信任证书签字。似乎病毒编写者正在计划将其上传至应用商店。
- Backdoor.OSX.Ventir – 一种带有隐藏远程控制功能的多模块木马病毒间谍软件。其中包含一种基于开源logkext驱动的键盘记录器。
- Trojan.OSX.IOSinfector – 木马间谍软件移动版的安装程序。IPone操作系统。Mekir(OSX/Crisis)– 无疑会感染iPhone手机。
- Trojan-Ransom.OSX.FileCoder– 首个针对OS X的加密器。仅能在buggy原型中运行。
- Trojan-Spy.OSX.CoinStealer– 首个针对OS X用于盗窃比特币的恶意软件。伪装成一些开源比特币工具,事实上却悄悄安装一种恶意浏览器插件和/或bitcoin-qt修补后版本(用于挖掘比特币的开源工具)。
#你从未听说过的针对OS X的恶意软件(但可能会从你的Mac计算机中找到)
在这个时候,我们可能会做一些逻辑推理:好吧,这些天的确出现了一些针对Mac计算机的恶意软件,但真正对用户的威胁到底有多大?它们感染未受保护Mac计算机的可能性到底有几何?其中传播范围最广的恶意程序到底有哪些?
得益于KSN,我们找到了答案。但在分析这些数据之前,首先重要的免责声明必不可少:这些数据全部是从使用我们产品的用户处采集而来。为弄清恶意软件在全球范围的传播方式,所采集数据还需包括那些使用其他安全产品和/或不安装反病毒软件的用户– 这项工作不仅吃力不讨好,而且由于采用外推法从不同来源采集数据,因而只能得出近似的结果。尽管如此,KSN数据依然值得好好研究一番,即使只是增加支持我们观点的论据而已:)。
2013-2014年检测出针对OS X的恶意软件数量排名前20如下(全球范围):
同一时期iMalware的地理分布图如下:
现在,如果你能仔细研究这些数据的话,将发现所检测到数量中约有一半是恶意广告软件,同时排名前三的恶意程序占据了总数的三分之二。至于iMalware的地理分布情况,基本上符合Mac计算机的普及范围。例如,Mac计算机在发达国家最为流行–潜在受害者的经济能力最佳。最后让人惊奇的是,著名的Flashback竟然从前20的榜单中消失了。
那么,我们能从这些数据中得出哪些结论呢?
首先:网络犯罪分子发现利用大多数合法化(好吧,几乎是合法)方法就能很容易地赚钱。持续不断地刊登网络广告也能获利,而发动大规模的感染攻击– 可以赚取很一大笔钱。
第二:OS X病毒编写者尽管数量上不多,但却个个身经百战,经验丰富。与Windows系统病毒不同的是,OS X病毒早已过了”纯粹为了好玩”的幼稚阶段,直奔主题:针对不断增加的Mac计算机用户编写破坏性十足的恶意软件欺诈。他们都是些危险的家伙,非常危险!他们很可能首先在Windows平台上磨练自己的技巧,随后在Mac计算机上通过寻找新的还未用过的赚钱机会,从而在全新未知的领域大肆获利。由于Mac用户对于安全防范相对薄弱,因此有大把的机会摆在这些黑客面前– 对于”开辟新战场”乐在其中。
第三:专业化的间谍小组事实上已开始利用OS X进行黑客活动。在过去的几年内,许多APT攻击(高级持续性攻击)是针对Mac模块(例如:Careto、Icefog以及针对维吾尔激进分子的攻击)。当然,在这里我们讨论的是有针对性的–并非普遍性的 – 针对被特别选定的受害者的攻击;因而此类攻击排在20名开外也不让人感到意外。这并非表示其危险性较低;尤其是当情报机构对你个人数据”青眯有加”的时候。
现在,让我们找一些与上述数据相关联的真实案例。
事实上,相对于Windows系统动辄发生大规模网络灾难而言,在过去18个月内OS X内所检测到的数十万种恶意病毒似乎并不算多,因此很容易让人们得出这样一个结论: 事实上存在于OS X操作系统内的威胁并不多。好吧,与Windows相比,OS X可以说几乎不存在任何威胁。但”几乎不存在”是否意味着Mac用户就能放松警惕,并仅仅依靠苹果自身的安全保护功能呢?换句话说– 我们根本无需为OS X的安全而担心?事实是否真的如此,请耐心读下去…
要弄清到底谁是谁非:),我们需要再一次使用到KSN数据。这一次,我们需要考虑Mac计算机受感染水平– 或者说是受保护Mac计算机数量与检测到Mac恶意软件不同种类数量的比例。
在整个8月份,检测到恶意程序的比率在3%左右。与21%的Windows系统感染用户(基于KSN数据)相比低了许多。但换句话说,Mac恶意程序对活跃互联网用户的Mac计算机每年窥探的次数有10次。
现在事情变得越来越有趣了…
首先:iUser并非是iMalware的唯一攻击目标。一些类型的攻击并不太在意计算机所使用的操作系统。例如:网络钓鱼和中间人攻击。但这些恰恰是传播极为广泛的威胁。它们最感兴趣的目标包括:用户的银行账户、所使用的关键web服务以及社交网络上的活动。
其次:Mac计算机还遭受着另一种非针对Mac威胁的攻击– 通过第三方软件的漏洞”潜入”;例如:Java、Flash或Silverlight。这并非是Mac计算机默认软件,但依然有许多用户下载和安装,为的是充分利用网络所带来的好处。
如果我们将所有常用第三方软件考虑在内,很难说针对Mac计算机攻击成功的可能性到底有多大。但我可以肯定地说这一数字将成倍增长。
Mac特定恶意软件并非Mac计算机仅有的威胁。此外还有网络钓鱼、中间人攻击以及第三方软件漏洞
第三:这并非完全与恶意软件威胁有关。反病毒软件早已不甘只担任”幕后角色”,比如:并以某种不被注意到的方式拯救我们的计算机免于网络攻击。现代的反病毒软件包含许多其他有用的功能,并远超人们对于软件的普遍认知。例如:上网管理功能、密码管理器、Wi-Fi可靠性检测、网络摄像头阻止以及其他数百种功能。的确,就功能性而言,专为Mac计算机而设计的安全产品远远落后于运用于PC的安全产品,虽然追赶的速度相当缓慢,但最终一定会迎头赶上…
现在让我们一同展望未来…
长久以来,总有两个问题萦绕在Mac计算机用户心头:为什么针对Mac计算机的恶意软件如此之少,以及Mac计算机的安全状况是否将恶化?
我曾多次提到过恶意软件要在某一特定平台”生存”,必须具备3个必要条件:(i)平台需要存在不安全结构和由此产生的漏洞;(ii)传播范围相当广泛;和(iii)需要提供针对第三方应用开发的工具。OS X操作系统仅勉强符合(ii)项。
知识渊博的读者一定会对此提出质疑。现在有超过8000万台计算机运行的是Mac操作系统!数量如此之多难道不能说明其传播范围之广吗?看似确实有些道理。但不要忘了目前全球有15亿台Windows系统计算机!
在写这些博客之前,我曾写过有关计算机非法行为的经济性文章。有一项基本规则适用于包括OS X在内的所有操作系统:对于那些处于市场边缘的操作系统而言,黑客没有理由花费太多资源编写针对这些系统的病毒。因为全球有数千万台基于Windows系统的计算机–有些没有安装反病毒软件,大多数从未进行过更新,而其他一些则使用的是免费且”漏洞百出”的反病毒程序。换句话说– 在Windows系统内赚取不义之财要容易得多。那为什么还要去入侵防御更为坚固的OS X操作系统呢?
我们应该看到”临界量”有时候是会”说谎”的 – 像OS X操作系统这样的’小众’(从市场份额看)操作系统却更令黑客”垂涎欲滴”。我曾提到在过去,5-7%的全球安装用户即达到了临界量水平。但事实证明这一数字过低了。今年OS X操作系统普及率已接近10%。但病毒编写者依然没有太多的动作–只有些零星的活动:笨拙、勉强且”概念验证”式地进行。
从这一趋势推算,再过3年时间,苹果将占据整个市场的15%份额。这是否会迅速引发iMalware的开发热潮呢?
对此我无法作出预测。可能数量会急剧上升– 但也可能没有任何变化。但数量上肯定会有所增加。是否有人做过关于这方面的预测呢?
那如果OS X的市场占有率最终达到了临界量,那将会发生什么?
我认为首先将出现大规模的病毒感染事件、数量众多的受害者以及大量的金钱损失。随后将发生连锁反应– 病毒编写者们将参考其他同行,研究攻击OS X的可行性以及收益性– 随后一同大规模地向这一平台”进发”。
另一种可能出现的情况是由于APT攻击造成所有OS X突然失控;比如,无法证实的恶意软件特性或攻击技术泄露造成全球范围的病毒爆发,从而导致计算机非法行为大范围传播的同时出现大量的克隆病毒。
关于Mac计算机安全性的真实情况的确难以预测,因为大多数Mac用户依然对他们喜爱的供应商的安全防范能力以及可靠性有着充分的信任。因此数千万台未受保护的Mac计算机未来的命运到底如何目前仍然是未知数。这就好比是冰山位于水下的部分。这一部分往往会造成无法预计且危害严重(泰坦尼克号!)的事故,就好像2012年3月Flashback蠕虫病毒的爆发。但目前到底还有哪些恶意软件依然”阴魂不散”?它们到底是如何危害用户?谁是幕后真正的黑手– 常规网络犯罪分子或是白领犯罪分子是否雇佣了一大批程序员?所有这些人们感兴趣的问题,我们将逐一为您解答。但我们需要你的帮助。我们无法强迫你做出改变。因此要关注起自身系统的安全性– 至少第一步需要改变自己对于Mac计算机保护的态度!
同时,我们还将为你提供一些简便的小贴士,教你如何保持Mac计算机的清洁和安全。
一些教你如何保持Mac计算机清洁和安全的小贴士
有关Mac计算机安全性的讨论暂且就到此为止– 希望能继续关注我们接下来的内容。不久的将来,我们一定带来更多有关这一前沿更加生动有趣的内容…
研究人员发现了大量存在于在Bash shell代码中的严重漏洞,影响范围波及Linux、UNIX以及–你一定猜到了–OS X操作系统。尽管相关补丁正在加紧”赶制”,但迄今为止依然没有太大的进展。我们不要忘了Unix在全球范围内仍然运行于许多工业控制系统以及能源网络。还有人记得冲击波蠕虫病毒(Blaster)吗?在”大灾难”发生的一个月前微软所发布了一款补丁…我并没有夸大– 最终造成整个美国东部大范围停电。