Wie sich der macOS-Malware-Schutz XProtect umgehen lässt

geschätzter Leseaufwand: 3 Minuten

Mit XProtect überwacht ein Sicherheitstool jeden Apple-Rechner, das tief in den Mac integriert ist. Damit keine Schadsoftware von außen auf das Macbook oder den iMac gelangen kann. Unterstützt wird XProtect bei seinen Sicherheitsbemühungen vom Gatekeeper, das darauf achtet, dass Anwender keine Software installieren können, die möglicherweise Schaden auf dem Rechner anrichtet. Wie SentinelOne-Experten herausgefunden haben, soll das Malware-Schutzschild von macOS zu umgehen sein. Ich habe mir das einmal ein wenig genauer angesehen.

XProtect ließ sich vor macOS Catalina recht leicht umgehen

Ältere Versionen von XProtect (also alle vor macOS 10.15. “Catalina” machten es sich ziemlich leicht: Wurde eine Software auf dem Apple-Rechner als maliziös eingestuft, verpasste die Anti-Malware-Software das Schadprogramm mit einem sogenannten Quarantäne-Bit, womit die Software als “gefährlich” eingestuft wurde. Dumm nur, dass es mit dem kostenlosen macOS-Tool xattr relativ leicht ist, das Bit wieder zu entfernen und damit die Malware als ungefährlich erscheinen zu lassen.

Mit macOS 10.15 lässt sich dieser “Trick” nicht mehr anwenden, was vor allem für Sicherheitsexperten ein wenig schade ist, weil sie eine Malware auf einem “echten” Apple-System nicht mehr untersuchen können. Doch gibt es vielleicht trotzdem die Möglichkeit, dieses Sicherheitsfeature von XProtect zu umgehen?

Empfehlung >>  Rundumschlag gegen Hacker: So schützt SentinelOne Singularity Rechner, Cloud-Container und IoT-Netze

Methoden, wie sich auch auf Catalina-Rechner Malware einschleusen lässt

Die einfachste Methode, eine bekannte Malware auf einem Mac zu Testzwecken zum Laufen zu bringen und sie damit “in the wild” untersuchen zu können: Einen Apple-Rechner mit einem OS unterhalb von Catalina zu nutzen. Easy, oder? Damit weiß man aber natürlich nicht, wie sich die Schadsoftware im Ernstfall auf macOS Catalina verhält.

Variante Nummer 2: Auf einem Catalina-Rechner schaltet man den Systemintegritätsschutz (System Integrity Protection – SIP) aus. Damit ist jegliche Malware auf einem Apple-Rechner installier- und ausführbar. Dann kann man sogar mithilfe des Terminalbefehls sudo mount -uw Schreibrechte auf die schreibgeschützte Systempartition erlangen und damit jede Systemdatei manipulieren.

Hinweis: Für solch einen “Wie umgehe ich den Malware-Schutz von Catalina”-Test empfiehlt sich unbedingt, eine virtuelle Instanz von macOS 10.15. zu installieren. Dort können die “Malware-Spielereien” gefahrlos durchgeführt werden.

Zunächst einmal ist eine bis dato unentdeckte Malware erforderlich, die von den üblichen Virenscannern nicht erkannt wird. Dann entfernt man in einem ersten Schritt das Quarantäne-Bit der zu untersuchenden Malware, die als herkömmliches Programm daher kommt. Folge: XProtect gibt eine Warnung aus, dass die App den Mac angreifen und zerstören könnte. Das Bit-Abschalten funktioniert also tatsächlich nicht.

Yara-Regeln von XProtect verstehen und umgehen

Ein anderer Weg ist das Verstehen der Regeln, auf denen XProtect fußt. Denn das macOS-Malware-Tool arbeitet sowohl mit klassischen Signaturen als auch mit Yara-Regeln, um Bösewichter zu erkennen und vom Rechner fernzuhalten. Diese Regeln sind der Schlüssel zum “Erfolg”. Um XProtect also austricksen zu können, müssen die vorhandenen Yara-Regeln verstanden und umgangen werden. Hierzu muss beispielsweise unter Umständen die Größe der Malware-Datei verändert werden, damit die Regel nicht “misstrauisch” wird und die Software als Malware erkennen kann.

Empfehlung >>  So schnitt SentinelOne im großen MITRE ATT&CK-Test 2020 ab

Hinweis: Dieser Beitrag basiert auf einem ausführlichen Artikel des SentinelOne-Blogs. Dort finden Sie noch mehr Informationen zu dem Thema und obendrein Malware-Beispiele, mit denen man XProtect zu “Forschungszwecken” umgehen kann, wenn man das Richtige tut. Viel Spaß beim Ausprobieren. Aber: Für Risiken und eventuelle Schäden am Mac kann ich natürlich NCITH verantwortlich gemacht werden.

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne produziert. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.