MacOS가 맬웨어를 처리하는 방법

게시 됨: 2019-02-28

Mac은 항상 바이러스의 영향을 받지 않는다고 주장됩니다. 글쎄, 실제로는 불가능합니다! 모든 장치는 감염되기 쉽고 기술의 발전으로 불가능한 것은 없습니다!

MacOS는 감염되지만 이는 MacOS에 맬웨어에 대한 보호 기능이 내장되어 있다는 사실이기도 합니다. 이러한 방법은 때때로 매우 효과적이지만 무능할 수도 있습니다. 이 게시물에서는 MacOS 기능이 맬웨어로부터 보호하는 방법에 대해 설명합니다.

건강 격리

기능 중 하나는 검역소입니다. 인터넷을 통해 Mac에서 앱을 다운로드할 때마다 검역소 "플래그" 태그가 지정됩니다. 다운로드한 파일을 열려고 할 때마다 MacOS는 몇 가지 검사를 실행합니다.

앱이 확인되면 MacOS는 인터넷에서 다운로드한 앱에 액세스하고 있다는 경고 메시지를 표시합니다. 파일이 다른 종류로 마스킹된 경우 파일 사용을 시작하도록 허용해야 합니다.

앱이 처음 실행되면 검역 플래그가 제거되고 다른 검사도 제거됩니다.

검역소의 허점

검역 플래그가 지정되지 않고 앱이 하드 드라이브에 올 수 있는 몇 가지 방법이 있지만.

  • 토렌트 앱 및 다운로더
  • 격리 플래그가 제거된 후 누군가가 앱을 다른 Mac에 복사하는 경우.
  • 합법적인 다운로드 방법을 거치지 않고 파일을 형성할 수 있는 허점은 하드 드라이브에서 플래그 없는 앱을 허용합니다.

문지기

인터넷에서 앱을 다운로드할 때마다 검역 플래그가 태그로 지정됩니다. 첫 번째 검사 중 하나는 앱의 코드 서명입니다. 코드 서명은 앱 개발자를 감지하는 암호화 데이터 조각으로 앱이 간섭을 받았는지 여부를 확인하는 데 사용할 수 있습니다. 99달러 개발자 계정에 포함된 Apple의 인증서에 의존합니다.

앱이 간섭을 받았거나 Apple에서 제공한 인증서가 취소되었음을 나타내는 서명이 있는 경우 MacOS는 앱을 실행하지 않습니다.

GateKeeper의 LoopHoles

안타깝게도 Gatekeeper는 완벽한 도구가 아니며 위에서 언급한 다음과 같은 이유로 Quarantine이 이를 약하게 만듭니다. 격리되지 않은 앱에 대해서는 Gatekeeper 확인이 수행되지 않으므로

따라서 시스템에 깨끗한 앱을 다운로드 및 설치한 경우 백그라운드에서 감염된 프로세스를 다운로드할 가능성이 있습니다. 그리고 Gatekeeper는 격리되지 않았기 때문에 코드 서명을 확인할 수 없습니다.

또한, Mac에 설치된 앱이 악성 앱으로 판명되어 Apple이 해당 개발자 인증서를 취소한 경우에도 해당 앱이 이미 Mac에 설치되어 있으므로 Mac에서 계속 실행됩니다.

또한 맬웨어는 Mac의 앱에 영향을 미치고 수정하여 맬웨어를 탐지하기 매우 어렵게 만들 수 있습니다.

더 읽어보기: 맬웨어가 자동차에 미치는 영향

XProtect

기본적인 맬웨어 방지 기능인 XProtect는 Mac에서 보호 도구의 일부이기도 합니다. 이 기능은 검역소에도 연결됩니다. 따라서 열려고 하는 모든 격리된 앱은 XProtect를 지나 실행됩니다. 모든 규칙이 충족되는 경우에만 앱이 열립니다.

XProtect의 허점

Gatekeeper와 마찬가지로 XProtect에도 몇 가지 취약점이 있습니다. 그 중 하나는 격리되지 않은 경우 규칙에 대해 앱을 일치시킬 수 없습니다.

또 다른 하나는 현재 위협에 대한 보호 기능을 제공할지 확신할 수 없다는 것입니다.

맬웨어 제거 도구

2012년에 해커들은 Java의 취약점을 사용하여 MacOS를 공격했습니다. 이 경우 웹 사이트를 방문하기만 해도 Mac에 멀웨어가 설치될 수 있습니다. MacOS는 이 문제를 처리할 준비가 되어 있지 않았습니다. 따라서 Apple에는 MRT, Malware Removal Tool이 포함되어 있습니다.

Malware Removal Tool은 블랙박스이며 아무도 어떻게 실행되는지 알지 못하고 사용자에게 경고하지 않고 조용히 작동합니다. 이 도구의 목적은 탐지된 맬웨어를 제거하는 것입니다.

MRT의 루프 홀

XProtect와 유사하게 Malware Removal Tool은 설정된 규칙에서만 작동하고 알려진 악성 코드를 탐지합니다. 이러한 규칙이 작동하는 방식에 대한 정보가 없으므로 도구의 기능을 결정할 수 없습니다. 또한 MRT가 새로운 맬웨어를 탐지할 수 있는지 여부도 확신할 수 없습니다.

시스템 무결성 보호

시스템 무결성 보호는 시스템 파일이 수정되는 것을 허용하지 않습니다. 이 도구는 사용자가 Mac에서 많은 수의 제한된 파일을 변경하는 것을 허용하지 않기 때문에 "루트리스"라고도 합니다.

해당 파일을 변경하려면 시스템 무결성 보호를 비활성화해야 합니다. 그런 다음 Mac을 재부팅하고 복구 모드에서 다시 시작하고 터미널에 액세스해야 합니다. 터미널에 arcane을 입력합니다. 그러나 대부분의 사용자는 변경을 원하지 않을 것입니다.

시스템 무결성 보호의 허점

제한 사항으로 인해 이 도구는 악성 파일로부터 시스템을 보호하는 데 효과적인 것으로 보입니다. 그러나 사실이 아닙니다. SIP 이전에는 파일을 변경할 수 있는 멀웨어가 있었지만 지금은 SIP로 보호됩니다.

그러나 일부 맬웨어는 루트 권한을 사용하지 않고 Mac을 감염시킬 수 있습니다. 즉, SIP는 악성 앱을 열 때 Mac을 은밀하게 감염시키는 맬웨어로부터 Mac을 보호하기 위해 아무 것도 할 수 없습니다.

투명성, 동의 및 통제

투명성, 동의 및 제어는 최근 Mac Mojave에 추가된 기능입니다. 외부 액세스로부터 사용자 데이터를 보호합니다. 이 기능의 목적은 앱이 브라우저 기록을 사용하지 못하도록 하는 것입니다.

반드시 읽어야 함: DarthMiner Mac Miner를 제거하는 방법

투명성, 동의 및 통제의 허점

이러한 지속적인 요청 프롬프트는 앱이 투명성, 동의 및 제어를 바로 지나서 데이터에 액세스하도록 허용하는 "대화 피로"를 유발할 수 있습니다.

따라서 다음은 Mac을 보호하기 위해 MacOS에서 수년 동안 도입한 몇 가지 기능입니다. 이러한 기능에는 고유한 취약점이 있으며 Apple은 이를 극복하고 Mac을 더 안전하게 만들기 위해 노력하고 있습니다. 그동안 해커가 이러한 허점을 사용하여 Mac을 감염시키지 않도록 주의해야 합니다.