Den Apple Mac sicherheitstechnisch entschlüsseln und verstehen

geschätzter Leseaufwand: 4 Minuten

Was wird dem Mac nicht alles nachgesagt:

1. Er sei der beste Windows-Rechner der Welt.

2. Er sei teurer als vergleichbare Windows-Rechner (dann schauen Sie sich mal das neue Microsoft Surface Book 3 an).

3. Der Mac sei ein prima Arbeitstier.

4. Die Apple-Rechner seien viel sicherer als Windows-PCs.

Also, über die Punkte 1 bis 3 könnten wir sicherlich stundenlang diskutieren. Spannend wird es aber beim vierten Argument. Abgesehen davon, dass ich darüber hier schon geschrieben habe, ist das Thema Sicherheit und Apple nicht ganz so trivial, wie viele Mac-Anwender am liebsten annehmen mögen.

Aus diesem Grund will ich heute ein eBook von SentinelOne vorstellen, das im Detail zeigt, wo auf einem Mac überall Gefahren lauern – und wie man diese möglicherweise selber oder mithilfe geeigneter Maßnahmen minimiert. Es geht also ganz konkret um das Thema Threat Hunting – na dann mal los.

Fünf Kapitel randvoll mit ganz viel Security-Wissen

In insgesamt fünf Kapiteln plus einem ausführlichen Anhang, in dem die bekanntesten Bedrohung des Mac aufgezeigt werden, kann man vieles über das Thema Threat Hunting auf dem Mac lernen. Da ist gleich die Rede von dem einfachen Terminal-Befehlt [dscl . list /Users UniqueID], der bereits im ersten Schritt zeigen kann, ob sich möglicherweise ein unbefugter User auf dem Apple-Rechner eingenistet hat.

Weiter geht es mit wissenswerten Mechanismen wie dem LaunchDaemon, ein an sich harmloser macOS-Dienst, mit dem sich Apple-Skripte automatisch starten lassen. Selbst Tools wie WireShark nutzen LaunchDaemon. Aber wehe, auf dem Mac befindet sich ein unbemerkt eingeschleuster LaunchDaemon-Dienst, mit dessen Hilfe Malware von außen auf dem System gestartet werden kann.

Die Rede ist aber auch von Cronjobs, die von Malware-Varianten wie AdLoad und Mughthesec für ihre Angriffe und das Einschleusen von Schadsoftware genutzt werden. Und klar geht es auch um AppleScript und seine Möglichkeiten für Hacker. Aber das ist ja für Leser*innen meines Blogs nichts Neues.

Empfehlung >>  Apple-Rechner zentral verwalten: das leistet Parallels Mac Management

Kapitel 2: macOS-Infektionen besser verstehen

Im zweiten Abschnitt des eBooks wird es dann noch ein wenig konkreter. Dort geht es zum Beispiel um offene Ports, die sich in der macOS-Firewall befinden können. Solch eine offene Schleuse wurde beispielsweise dem Videokonferenzen-Tool Zoom zum Verhängnis, weswegen das verantwortliche Unternehmen Zoom Video Communications einen Patch bereit gestellt hat, um diese Mac-Lücke zu schließen. So kann man mit dem Terminal-Befehl [netstat -na | egrep ‘LISTEN|ESTABLISH’] herausfinden, welche offenen Verbindungen existieren, die für Hacker-Zwecke missbraucht werden könnten.

Wichtig in diesem Kontext sind weitere Mechanismen und mögliche Hintertüren. Das können offene Dateien sein, die sich über das gesamte System erstrecken können. Dort hält sich immer wieder Malware unbemerkt versteckt, und das gerne in Verzeichnissen wie [/usr/local], [/usr/local/bin] und [/usr/local/sbin]. Mit dem Terminal-Befehl [ls -al] und dem zugehörigen Verzeichnis kann man leicht überprüfen, ob sich dort Dateien befinden, die da nicht hingehören.

Interessant in diesem Zusammenhang sind auch die Netzwerkeinstellungen des Mac. Hier stehen vor allem manipulierte DNS- und AutoProxy-Einträge im Fokus von Hackern. Mit dem Terminal-Befehlen [ifconfig] und [scutil –proxy] kann man ein ganze Menge über mögliche Schwachstellen oder bereits vorgenommene Manipulationen am Mac erfahren.

Kapitel 3: Den Mac noch besser verstehen

Auf dem Mac existiert ein mächtiges Tools namens Sysdiagnose, das ursprünglich für macOS-Betatests geschrieben wurde. Denn mit Sysdiagnose wird der Mac vollständig analysiert. Das geschieht mithilfe des Terminal-Befehls [sudo sysdiagnose]. Nach Eingabe des Admin-Kennworts startet der Prozess, an dessen Ende eine gepackte Datei steht, in der sämtliche relevante Informationen zu dem Apple-Rechner stehen. Das sind die Aktivitäten des angemeldeten Users bis hin zu den installierten Anwendungen und vieles mehr.

Besonders interessant dabei ist die Datei lsregister-0.csstoredump, die Hinweise darauf liefern kann, ob unbemerkt Malware eingeschleust wurde. Wichtig ist das Feld CFBundleIdentifier, in dem sich Malware-Verbindungen verstecken können. Für das Auslesen der Dump-Datei brauchen Sie einen passenden Editor wie BBedit, mit dem sich die Dateien des Sysdiagnose-Ergebnisses bequem untersuchen lassen. Damit kann Malware recht schnell aufgespürt werden.

Empfehlung >>  So gelingt der Umzug in die Cloud mithilfe eines 5-Tage-Workshops

Kapitel 4: Den Anwenderdaten auf der Spur

Ein weiterer Angriffspunkt auf jedem Rechner (also auch auf dem Mac) sind die Anwenderdaten, die auf einem Mac in SQLite-Datenbanken gespeichert werden. Um diese Daten inspizieren zu können, ist ein Tool wie DB Browser for SQLite erforderlich. So befinden sich beispielsweise im versteckten Verzeichnis [/var/db/CoreDuet] die Dateien KnowledgeC.db und /People/interactionC.db. In beiden Datenbanken stecken zahlreiche Anwender-Informationen: Welche Anwendungen er/sie nutzt, welche Internetseiten er/sie besucht hat und einiges mehr. Aber auch der gesamte E-Mail-Verkehr lässt sich damit auslesen und verstehen. Perfekte Angriffsvektoren für Hacker.

Kaptitel 5: Mögliche Manipulationen aufspüren

Eine Datei, die gerne von Hackern missbraucht wird, nennt sich sudoers.d, die sich im Verzeichnis “/etc” befindet. Mithilfe des Terminal-Befehls [sudo visudo] lässt sich der Inhalt von sudoers.d anzeigen. Die Datei endet normalerweise mit dem Eintrag [#includedir /private/etc/sudoers.d]. Ist danach eine weitere Zeile wie ANWENDERNAME ALL=NOPASSWD: zu sehen, liefert das einen ernstzunehmenden Hinweis auf eine mögliche Manipulation seitens eines Hackers.

Manipulationen können aber auch über die Netzwerkeinstellungen des Mac erkannt werden. So wird hier oft für Man-in-the-Middle-Attacken die Autoproxy-Funktion von macOS missbraucht.  Sollten sich dort auffällige Konfigurationseinträge befinden, könnte das einen weiteren Hinweis auf eine mögliche Manipulation geben. Das gilt übrigens auch für die Freigaben-Dienste von macOS. Auch hier sollten möglichst keine auffälligen Einträge vorhanden sein.

Fazit: macOS-Schwachstellen kennen und aufspüren

Wenn das SentinelOne-eBook eines zeigt, dann dass es vielfältige Einfallstore am Mac gibt, mit denen sicher geglaubte Apple-Rechner kompromittiert werden können. Daher ist die Lektüre dieses macOS-Security-Handbuchs sicherlich eine gute Idee, selbst wenn sie ein wenig Zeit erfordert.

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne produziert. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.