Macbooks en iMacs staan bekend als sterke en betrouwbare machines. Een wijdverspreide overtuiging daarbij is dat de beveiliging net zo robuust is en dat een Mac nauwelijks beveiligingsissues kent. Dat is maar deels waar. Het aantal dreigingen gericht op MacOS is weliswaar lager dan bij Windows-apparaten, maar het zijn nog altijd serieuze risico’s.
De hoeveelheid malware voor Mac-gebruikers is niet zo groot als Windows-systemen, omdat het marktaandeel van Apple-computers nog altijd lager is Windows-pc’s. Deze laatste zijn simpelweg een aantrekkelijker en gemakkelijker doelwit. Er zijn echter steeds meer cybercriminelen die handig op deze veiligheidsmythe inspelen. Ze maken bijvoorbeeld gebruik van het gegeven dat de gemiddelde Mac-gebruiker minder waakzaam is, ervan overtuigd dat hun computer goed beschermd of zelfs immuun is voor de cyberaanvallen en besmettingen waar een Windows-gebruiker mee te maken krijgt.
In de afgelopen jaren zien we echter bij organisaties het aantal dreigingen op MacOS-endpoints tot een zorgwekkend niveau groeien. De verwachting is dat deze trend zich doorzet. De risico’s voor MacOS zijn in de loop der tijd veranderd. De ingebouwde beveiliging van de Mac ving altijd een hoop op, maar tegenwoordig zijn er meer dan genoeg kwaadaardige backdoors, Trojaanse paarden, adware en pup’s die klaar staan om via een onoplettende gebruiker zonder effectieve endpoint-beveiliging het systeem te infecteren.
Wat te doen bij Mac-malware?
Hoe achterhaal je of er malafide software is gedownload op een Mac? Hoe zie je of iemand het slachtoffer is van phishing en een cybercrimineel het systeem is binnengedrongen (en mogelijk al weer weggegaan)? Malware in het MacOS is lastig te traceren. Er is bijvoorbeeld malware gevonden die gaat slapen wanneer de ‘activity monitor’ wordt geopend en er zijn backdoors die blijven werken via andere methodes dan ‘launch agents’. Slechts weinig Mac-gebruikers weten dit, en security-experts ontdekken ook nog steeds nieuwe manieren.
Er zijn een paar stappen te zetten om te achterhalen hoe een Mac ervoor staat. Details zijn te vinden in het onlangs verschenen ‘A Guide to MacOS Threat Hunting and Incident Response’, geschreven door onderzoeker Phil Stokes.
Hij stelt dat het in eerste instantie goed is om na te gaan hoe malware in Mac-systemen kan voorkomen, door naar user-accounts te kijken via de ‘directory service command line utility’. Vervolgens is het slim om launch agents, launch daemons, login items, scripts en nog een aantal andere indicatoren door te lopen. De volgende stap is naar lopende processen, bestandssysteem en netwerkconfiguratie te kijken. Denk aan open poorten en open bestanden die afgesloten horen te zijn. Of het nu gaat om cryptominers, adware, backdoors of staatsaanvallen, de genoemde stappen zijn altijd het begin en leveren vaak al tekens van leven op voor zelfs de meest verborgen malware. Toch zal het helpen om nog een niveau dieper te gaan, zoals Apple’s systemprofiler, sysdiagnose, utilities en fsevents en een bak aan sqlite caches om details boven water te krijgen en op die manier de detectie en het herstel te verbeteren.
De groei van malware gericht op MacOS betekent dat Mac-gebruikers bewuster moeten omgaan met beveiligingsrisico’s en voorzichtiger moeten worden in hoe ze met deze endpoints werken. Net als Windows-gebruikers die dit al langer gewend zijn, moeten Mac-gebruikers beter gaan nadenken over welke websites ze bezoeken en wat voor soort software ze downloaden. En ze moeten voorzichtiger omgaan met het geven van toegang en rechten tot applicaties waar dat eigenlijk niet nodig is.