Як захиститися від несанкціонованого доступу до мікрофона/камері і троянів-вимагачів в MacOS

Для захисту комп’ютера від найбільш поширених видів шкідників будуть розглянуті дві безкоштовні утиліти, які можуть автоматично детектувати троянів-вимагачів

Хоча найбільш популярні шкідливий, як правило, обходять MacOS стороною, існує безліч троянів під цю операційну систему. Для захисту комп’ютера від найбільш поширених видів шкідників будуть розглянуті дві безкоштовні утиліти, які можуть автоматично детектувати троянів-вимагачів (ransomware), шифрувальних ваші файли, і відслідковувати неавторизований доступ до мікрофону та веб-камері.

Ці утиліти, які вміють детектувати навіть раніше невідомі шкідливі програми, що були розроблені Патріком Уордлом (Patrick Wardle), колишнім хакером, які працювали в NSA. Ми розглянемо програми OverSight і RansomWhere, які, замість сканування коду на предмет відомих сигнатур, аналізують поведінкові характеристики. Сповіщення відбувається в той момент, коли підозріла програма намагається отримати до камери/мікрофону або зашифрувати файли.

Загрози для MacOS

Для типового користувача MacOS деякі загрози безпеки є більш серйозними, ніж інші. Програми-здирники – особливий тип шкідливий, мета яких – змусити жертву заплатити за розшифровку файлів, раніше зашифрованих у скомпрометованої системі. Для відновлення даних користувач повинен заплатити зловмиснику за ключ. Однак навіть якщо ви заплатите, немає гарантій, що ключ ви отримаєте.

Ще один тип шкідливий дозволяє отримати доступ до камери і мікрофону жертви з метою віддаленої прослуховування і стеження. Коли камера працює, на комп’ютерах з MacOS включений відповідний індикатор, але у випадку з мікрофоном такого індикатора немає. Відповідно, з метою уникнення детектування шкідливий в основному спрямовані на прослушку через мікрофон.

Утиліта RansomWhere

RansomWhere – безкоштовний додаток, аналізуюче деструктивна поведінка процесів на вашому комп’ютері, як, наприклад, швидке шифрування безлічі файлів. При виявленні процесів подібного роду RansomWhere зупиняє шифрування і видає попередження, дозволяючи вам прийняти рішення, чи варто продовжувати чи ні. У разі, коли шкідлива програма намагається зашифрувати жорсткий диск, ви будете попереджені на самій ранній стадії і зможете завершити процес.

Оскільки деякі легітимні оновлення додатків (наприклад, від компанії Adobe) теж можуть ініціювати подібну діяльність, інтелектуальні алгоритми, що працюють у фоновому режимі, знижують відсоток негативних спрацьовувань до мінімуму, намагаючись розрізнити шифрування і стиснення. Як тільки RansomWhere виявляє швидке шифрування більш ніж трьох файлів, ви приймаєте рішення, продовжувати чи ні. У випадку якщо ви вирішите продовжити процес, білий список поповнюється, і в майбутньому відсоток помилкових спрацьовувань зменшується.

Відстеження прослушки за допомогою OverSight

Утиліта OverSight призначена для тих, хто хоче відслідковувати, які програми намагаються отримати доступ до веб-камери чи мікрофона. OverSight дозволяє контролювати ці пристрої та повідомляє про будь-які порушення конфіденційності. Доступ до мікрофону стає більш прозорим, так само, як і у випадку з камерою, і стає легко помітити і відключити програми, що намагаються отримати доступ до пристрою. Загальне правило говорить: якщо ви виявили, що випадкові додатки запитують доступ до мікрофону і камері, ймовірно у вас є проблеми з безпекою комп’ютера, і потрібно провести більш ретельну перевірку.

Крім моніторингу в режимі реального часу OverSight також фіксує в журналі, які програми й коли отримували доступ до цих пристроїв, і було видано дозвіл з вашого боку. Логи дозволяють відстежити підозрілу активність в минулому, якщо ви турбуєтеся, коли хтось, маючи фізичний доступ до вашого комп’ютера, гіпотетично міг встановити програми для доступу до мікрофону.

Переходимо до встановлення та налаштування цих утиліт.

Що знадобиться

Для встановлення вищезазначених утиліт, які можна знайти у відповідному розділі сайту objective-see.com знадобиться комп’ютер з MacOS, браузер і підключення до інтернету.

Малюнок 1: Розділ для завантаження RansomWhere і OverSight

Крок 1. Завантаження RansomWhere

Спочатку зайдіть в розділ з RansomWhere, де є багато додаткової корисної інформації. Якщо ви хочете дізнатися більше про розробку та інших аспектах RansomWhere, можете прочитати статтю Патріка, присвячену створенню цього додатка.

Натисніть на посилання «Download», що знаходиться під логотипом у вигляді ключа, і після завантаження, розпакуйте і запустіть інсталятор.

Крок 2. Установка і настройка RansomWhere

Встановити RansomWhere не становить особливої праці. Після запуску інсталятора введіть пароль для видачі прав на установку програми. Потім клацніть на кнопку «Install» для запуску установки.

Малюнок 2: Установка RansomWhere

Установка завершується після появи повідомлення про успішність закінчення процесу. Тепер можна протестувати додаток RansomWhere або перейти до установки OverSight.

Крок 3 (необов’язковий). Тестування Ransomware за допомогою Python

Якщо ви хочете протестувати RansomWhere, можете запустити додаток, яке функціонує як шкідлива програма-вимагач. Я написав програму на Python, шифрующую будь PNG-файл, що знаходиться в тій же директорії.

Відкриваємо термінал і вводимо команди для створення в домашній директорії «GenEncrypt».

cd
mkdir GenEncrypt
cd GenEncrypt/
 
nano RealBadFile.py

Потім копіюємо код нижче у вікно і після завершення створення натискаємо ctrl + x, а потім вводимо «Y» після завершення запису в файл.

import pyAesCrypt
import os
 
counter = 0
def encryptDat(victimFile, counter):
 # encryption/decryption buffer size - 64K
 bufferSize = 64 * 1024
 password = "tunnelsnakesrule"
 # encrypt
 pyAesCrypt.encryptFile(victimFile, victimFile + (str(counter+1)) + ".aes", password, bufferSize)
 counter += 1
counter = 0
current = os.getcwd()
for file in os.listdir(current):
 if file.endswith(".png"):
 victimFile = os.path.join(current, file)
 encryptDat(victimFile, counter)
print("Done!")

Якщо ввести команду ls, у списку повинен з’явитися файл «RealBadFile.py».

Цей код буде шифрувати всі PNG-файли, що знаходяться в тій же директорії, за допомогою алгоритму AES! Поміщаємо в папку як мінімум три файли (наприклад, можна зробити скріншоти), а потім в терміналі вводимо команду нижче:

pip install pyAesCrypt
python3 RealBadFile.py

Враховуючи, що скрипт зашифрував 3 файлу, має з’явитися попередження, як показано на малюнку нижче. У MacOS Catalina ймовірно потрібно дозволити сповіщення, щоб RansomWhere зміг відображати спливаючі повідомлення.

Малюнок 3: Попередження про підозрілу програмі, шифрувальної файли

Для припинення шифрування потрібно натиснути на кнопку «Terminate».

Крок 4. Завантаження OverSight

Зайдіть в розділ з OverSight, де є багато корисної інформації, а також посилання для завантаження.

Для завантаження інсталятора натисніть на «Download» під іконкою в лівому верхньому кутку, потім двічі клацніть на файлі для розпакування і далі ще раз двічі клікніть на виконуваному файлі, щоб почалася установка. Введіть пароль для видачі прав на установку і натисніть на кнопку «Install».

Малюнок 4: Установка OverSight

Після завершення установки, запустіть програму, якої потрібен доступ до камери, як, наприклад, Photo Booth. Повинно з’явитися попередження, що дозволяє вирішити, чи потрібно дозволяти доступ до пристрою чи ні. У MacOS Catalina необхідно включити оповіщення для OverSightHelper, щоб попередження з’являлися.

Крок 5. Налаштування і блокування небажаних запитів

Для налаштування OverSight натисніть на іконку у вигляді парасольки, що знаходиться на панелі завдань, а потім зайдіть в налаштування. Тут же відображається поточний статус мікрофона та камери.

У налаштуваннях можна вказати, повинен запускатися OverSight відразу після авторизації в системі, потрібно фіксувати активність в журналі, або активувати деякі інші функції.

Малюнок 5: Розділ з налаштуваннями OverSight

Якщо натиснути на кнопку «Manage Rules», з’явиться білий список додатків. У цьому переліку знаходяться програми, яким дозволений доступ до мікрофону та веб-камері. У будь-який момент ви можете переглянути своє рішення, натиснувши на хрестик праворуч від відповідного додатка.

Малюнок 6: Білий список додатків, яким дозволений доступ до пристроїв

Тепер всі налаштування, необхідні для відстеження доступу до пристроїв в режимі реального часу будь-якою програмою, повинні бути виконані.

Крок 6. Перегляд логів на предмет подій, пов’язаних з активацією пристроїв

Крім відстеження в режимі реального часу, ви можете подивитися, у яких програм був доступ до мікрофону або камері. Клікнувши на посилання (view), що знаходиться після «Activity Log» у розділі з налаштуваннями, ви побачите повну історію доступу до обох пристроїв.

Малюнок 7: Журнал доступу додатків до пристроїв

З допомогою цієї інформації ми можемо детально розібратися, які програми й коли підключалися до камери і мікрофону.

Висновок

Хоча для звичайного користувача боротьба з шкідливими програмами в MacOS може викликати труднощі, за допомогою програм, розглянутих вище, не складе праці відстежити і зупинити шкідливу активність в системі. Завдяки OverSight і RansomWhere, ми можемо виявити і запобігти підозріла поведінка, поки не настали більш серйозні наслідки. Мова йде навіть про раніше невідомих вредоносах.

Сподіваюся, вам сподобалося це керівництво, і тепер ви зможете підвищити рівень безпеки в системі MacOS.

Джерело

Поділитися
  • 2
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

133

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх