How attackers adapt to built-in macOS protection
Mis à jour :
Adaptation des attaquants aux protections intégrées de macOS
Les cybercriminels ciblent de plus en plus macOS en raison de sa popularité croissante. Bien que le système d’exploitation intègre de solides mécanismes de sécurité, les attaquants développent des techniques pour les contourner.
Points Clés et Vulnérabilités
- Keychain : Gestionnaire de mots de passe et de secrets.
- Vulnérabilité : Des outils comme Chainbreaker peuvent extraire des données des fichiers Keychain si l’attaquant a un accès physique et le mot de passe maître. Les outils natifs comme
securitypeuvent être détournés par des attaquants ayant déjà compromis le système.
- Vulnérabilité : Des outils comme Chainbreaker peuvent extraire des données des fichiers Keychain si l’attaquant a un accès physique et le mot de passe maître. Les outils natifs comme
- SIP (System Integrity Protection) : Protège les fichiers et processus système critiques contre les modifications.
- Vulnérabilité : Le SIP peut être désactivé en mode de récupération avec la commande
csrutil disable. L’accès physique ou les droits administrateur compromis permettent cette désactivation.
- Vulnérabilité : Le SIP peut être désactivé en mode de récupération avec la commande
- TCC (Transparency, Consent, and Control) : Contrôle d’accès aux données sensibles par l’utilisateur.
- Vulnérabilité : Le “TCC Clickjacking” superpose une fausse fenêtre de demande de permission pour tromper l’utilisateur et obtenir des accès non désirés (comme l’accès complet au disque). La modification des bases de données
TCC.dbnécessite la désactivation du SIP ou l’accès à un processus de confiance.
- Vulnérabilité : Le “TCC Clickjacking” superpose une fausse fenêtre de demande de permission pour tromper l’utilisateur et obtenir des accès non désirés (comme l’accès complet au disque). La modification des bases de données
- File Quarantine : Marque les fichiers téléchargés pour avertir l’utilisateur avant leur exécution.
- Vulnérabilité : Des outils comme
curlouwgetne marquent pas les fichiers avec l’attribut de quarantaine. L’attribut peut être supprimé manuellement avecxattr -d com.apple.quarantine.
- Vulnérabilité : Des outils comme
- Gatekeeper : Assure que seules les applications de confiance et signées sont exécutées.
- Vulnérabilité : Les attaquants peuvent contourner l’avertissement de sécurité en demandant aux utilisateurs d’exécuter les applications via le menu contextuel (“Ouvrir” via clic droit) plutôt qu’en double-cliquant. Le SIP peut être désactivé avec
spctl --master disableou--global-disable.
- Vulnérabilité : Les attaquants peuvent contourner l’avertissement de sécurité en demandant aux utilisateurs d’exécuter les applications via le menu contextuel (“Ouvrir” via clic droit) plutôt qu’en double-cliquant. Le SIP peut être désactivé avec
Recommandations
- Pour Keychain : Surveiller l’utilisation des commandes
security dump-keychainetsecurity list-keychainsvia les journaux d’événements du système (par exemple, avec ESF). - Pour SIP : Surveiller les changements d’état du SIP à l’aide de la commande
csrutil status. - Pour TCC : Surveiller les modifications apportées aux bases de données
TCC.db. - Pour File Quarantine : Surveiller l’exécution de la commande
xattr -d com.apple.quarantine. Analyser l’origine des fichiers suspects n’ayant pas l’attribut de quarantaine. - Pour Gatekeeper : Surveiller l’exécution de la commande
spctlavec les paramètres–master disableou–global-disable.
Pour une protection complète, il est recommandé d’utiliser des solutions de sécurité tierces avancées, telles que Kaspersky Endpoint Detection and Response (EDR), qui peuvent détecter et bloquer les menaces décrites. L’utilisation de règles Sigma peut également aider à se prémunir contre le contournement des mesures de sécurité standard.