Mythbusting - de ‘onbesmettelijke’ Mac

Hoeveelheid macOS-malware groeit

De hoeveelheid malware voor Windows-systemen is vele malen groter dan voor Mac-systemen. Het marktaandeel van Apple is simpelweg kleiner en dus is Windows een aantrekkelijker en gemakkelijker doelwit. Maar juist doordat de Mac-gebruiker minder oplettend is, spelen er steeds meer cybercriminelen handig in op de veiligheidsmythe. Ze maken gebruik van het gegeven dat de gemiddelde Mac-gebruiker minder waakzaam is, omdat ze ervan overtuigd zijn dat hun computer goed beschermd of zelfs immuun is voor de cyberaanvallen en besmettingen waar een Windows-gebruiker mee te maken krijgt.

De afgelopen jaren groeide het aantal dreigingen op macOS-endpoints tot een zorgwekkend niveau. De verwachting is dat deze trend zich doorzet. De risico’s voor macOS zijn in de loop der tijd veranderd. De ingebouwde beveiliging van de Mac ving altijd een hoop op, maar tegenwoordig zijn er meer dan genoeg kwaadaardige backdoors, Trojaanse paarden, adware en PUP’s die klaar staan om via een onoplettende gebruiker zonder effectieve endpoint-beveiliging het systeem te infecteren.

Wat te doen bij Mac-malware?

Malware in het macOS is lastig te traceren. Er is bijvoorbeeld malware gevonden die gaat slapen wanneer de Activity Monitor wordt geopend en er zijn backdoors die blijven werken via andere methodes dan LaunchAgents. Slechts weinig Mac-gebruikers weten dit, en security-experts ontdekken ook nog steeds nieuwe manieren. Hoe achterhaal je of er malafide software is gedownload op een Mac? Hoe zie je of iemand het slachtoffer is van phishing en een cybercrimineel het systeem is binnengedrongen (en mogelijk al weer weggegaan)?

Er zijn een paar stappen om te achterhalen hoe een Mac ervoor staat. Details zijn te vinden in het onlangs verschenen “A Guide to macOS Threat Hunting and Incident Response”, geschreven door onderzoeker Phil Stokes. Samengevat komt het neer op het volgende.

De eerste stap is nagaan hoe malware in Mac-systemen kan voorkomen, door naar user-accounts te kijken via de Directory Service command line utility. Vervolgens is het slim om LaunchAgents, LaunchDaemons, Login items, scripts en nog een aantal andere indicatoren door te lopen. De volgende stap is te kijken naar lopende processen, bestandssysteem en netwerkconfiguratie te kijken. Denk hierbij aan open poorten en open bestanden die afgesloten horen te zijn. Of het nu gaat om cryptominers, adware, backdoors of staatsaanvallen, de bovenstaande stappen zijn altijd het begin en leveren vaak al tekens van leven op voor zelfs de meest verborgen malware. Door nog een niveau dieper te gaan en te kijken naar Apple’s system_profiler, sysdiagnose, utilities en fsevents en een heel veel sqlite caches door te lopen haal je details boven water om detectie en het herstel te verbeteren.

Windows-gebruikers zijn al langer gewend om na te denken welke websites ze bezoeken en wat voor soort software ze downloaden; dit gaat ook steeds meer voor Mac-gebruikers gelden. De groei van malware gericht op macOS betekent dat ze veel bewuster moeten omgaan met beveiligingsrisico’s en voorzichtiger moeten worden in hoe ze met deze endpoints werken. Oplettendheid met het geven van toegang en rechten tot applicaties waar dat eigenlijk niet nodig is, is noodzaak. Of het marktaandeel nu verder stijgt of niet, de pijlen zijn geslepen en gericht op macOS.