- MacOS platformuna yönelik çalışan çok sayıda bilgi hırsızı, güvenlik şirketlerinin yeni değişkenleri sık sık takip edip raporladığı durumlarda bile tespit önlemlerinden kaçabiliyor.
- SentinelOne tarafından hazırlanan bir rapor, MacOS’un yerleÅŸik kötü amaçlı yazılımdan koruma sistemi XProtect’ten kaçabilen üç önemli kötü amaçlı yazılım örneÄŸi aracılığıyla bu sorunu gözler önüne serdi.
- KeySteal, Atomic Stealer ve JaskaGo tüm önlem ve yazılım güncellemelerine rağmen güvenlik duvarlarını aşabilen kötü amaçlı yazılımlar arasında öne çıktı.
MacOS platformuna yönelik çalışan çok sayıda bilgi hırsızı, güvenlik ÅŸirketlerinin yeni deÄŸiÅŸkenleri sık sık takip edip raporladığı durumlarda bile tespit önlemlerinden kaçabiliyor. SentinelOne tarafından hazırlanan bir rapor, MacOS’un yerleÅŸik kötü amaçlı yazılımdan koruma sistemi XProtect’ten kaçabilen üç önemli kötü amaçlı yazılım örneÄŸi aracılığıyla bu sorunu gözler önüne serdi. XProtect, indirilen dosyaları ve uygulamaları, arka planda çalışarak bilinen kötü amaçlı yazılım imzalarına karşı tarayan ve koruyan bir sistem.
Apple’ın, XProtect’in kötü amaçlı yazılım veritabanını sürekli güncellemesine raÄŸmen SentinelOne, kötü amaçlı yazılım yazarlarının hızlı tepkisi sayesinde bilgi hırsızlarının neredeyse anında bu güncellemeleri atlattığını söylüyor.
XProtect’ti aÅŸmak
SentinelOne’ın raporundaki ilk örnek, ilk olarak 2021’de belgelenen ve o zamandan beri önemli ölçüde geliÅŸen bir kötü amaçlı yazılım olan KeySteal’di. KeySteal ÅŸu anda, “UnixProject” veya “ChatGPT” olarak adlandırılan ve Xcode tarafından oluÅŸturulmuÅŸ bir Mach-O ikili dosyası olarak dağıtılıyor. Bu casus yazılım, sistemde kalıcılık saÄŸlamaya ve Anahtar Zinciri bilgilerini çalmaya çalışıyor. Anahtar Zinciri, kimlik bilgileri, özel anahtarlar, sertifikalar ve notlar için güvenli bir depolama görevi gören MacOS’un yerel parola yönetimi sistemine deniyor.
Apple, KeySteal imzasını en son Åžubat 2023’te güncelledi. Ancak kötü amaçlı yazılım o zamandan bu yana XProtect ve çoÄŸu AV motoru tarafından tespit edilemeyecek kadar deÄŸiÅŸiklik yaptı. Bu kötü amaçlı yazılımın ÅŸu anki tek zayıf noktası, sabit kodlanmış komut ve kontrol (C2) adreslerini kullanması. Ancak SentinelOne, KeySteal’in yaratıcılarının geliÅŸtireceÄŸi bir rotasyon mekanizması uygulamasının yalnızca zaman meselesi olduÄŸuna inanıyor.
XProtect’ten kaçışta örnek olarak öne çıkan bir sonraki kötü amaçlı yazılım, ilk kez Mayıs 2023’te SentinelOne tarafından Go tabanlı yeni bir hırsız olarak belgelenen ve Kasım 2023’te Malwarebytes tarafından yeniden ziyaret edilen Atomic Stealer. Apple, XProtect’in imzalarını ve algılama kurallarını en son bu ay güncelledi. Ancak SentinelOne, tespitten kaçabilen C++ varyantlarını zaten gözlemlediÄŸini bildirdi. Atomic Stealer’ın son sürümü, kod gizleme ve veri çalma mantığını açığa çıkaran VM karşıtı kontroller içeren ve Terminal’in onunla birlikte yürütülmesini önleyen açık metin AppleScript ile deÄŸiÅŸtirdi.
Rapordaki üçüncü örnek, “Gary Stealer” veya “JaskaGo” olarak da bilinen ve ilk kez 9 Eylül 2023’te görülen CherryPie. Go tabanlı çapraz platformlu kötü amaçlı yazılım, anti-analiz ve sanal makine algılayan, Wails’i kaplayan ve geçici imzalarla yönetici ayrıcalıklarını kullanarak Gatekeeper’ı devre dışı bırakan bir sistem içeriyor.
Ä°yi haber ÅŸu ki Apple, CherryPie için XProtect imzalarını Aralık 2023’ün baÅŸlarında güncelledi ve bu imzalar, yeni yinelemelerde bile iyi çalışıyor. Ancak kötü amaçlı yazılım tespitleri, Virus Total’de pek baÅŸarılı olmuyor. Yukarıda anlatılanlardan açıkça görülüyor ki kötü amaçlı yazılımların tespit edilmekten kaçınmak amacıyla sürekli olarak geliÅŸtirilmesi, hem kullanıcılar hem de iÅŸletim sistemi satıcıları için riskli bir durum.
Güvenlik için yalnızca statik algılamaya güvenmek yetersiz ve potansiyel olarak riskli. Daha sağlam bir yaklaşım, gelişmiş dinamik veya buluşsal analiz yetenekleriyle donatılmış antivirüs yazılımını içermeli. Ayrıca ağ trafiğinin dikkatle izlenmesi, güvenlik duvarlarının uygulanması ve en son güvenlik güncellemelerinin tutarlı yapılması, kapsamlı bir siber güvenlik stratejisinin temel bileşeni.
Derleyen: Fatma Ebrar Tuncel
