崇光

蘋果計劃在今年秋季發(fā)布鎖定模式，作為其用于iPhone、iPad 平板電腦和 Mac 電腦的新操作系統(tǒng)的一部分

勒索軟件的“鼻祖”誕生于1989年，當時不法分子使用軟盤和光盤（CD）傳播木馬程序，然后通過社會工程技術向用戶勒索錢財。但是，木馬程序無法加密數(shù)據(jù)，在那個互聯(lián)網(wǎng)的蠻荒時代，攻擊者還沒有找到敲詐之外的其他貨幣化方法。

直到2004年，第一個真正意義上的，能夠加密受害者數(shù)據(jù)的勒索軟件PGPcoder才出現(xiàn)，PGPcoder更接近我們今天所熟知的勒索軟件的概念。PGPcoder運營團伙主要針對個人用戶，向受害者索要約13美元的贖金——與今天的勒索軟件贖金標準相比，這是微不足道的數(shù)字，當今的贖金動輒數(shù)千萬美元。

勒索軟件歷史的重要轉折點發(fā)生在2015年，攻擊者的目標從個人轉移到了企業(yè)，因為他們意識到從商業(yè)角度來看，商業(yè)組織，尤其是大型企業(yè)，是更有價值的獵物。2018年誕生了最臭名昭著的勒索軟件聯(lián)盟計劃之一——GandCrab，根據(jù)一些消息來源，該惡意軟件的源代碼構成了REvil木馬的基礎。

2020年后的勒索軟件正在進入強者愈強的時代，根據(jù)GroupBI的《2020-2021高科技犯罪趨勢報告》，過去三年業(yè)界觀測到至少51個RaaS勒索軟件聯(lián)盟計劃。其中一些像LockBit、Hive、SunCrypt或Avaddon發(fā)展迅猛，而另一些，例如realOnline Locker、Keystore Locker和Jingo Locker則每況愈下。

個人電腦變成“肉雞”，并非新鮮事，早在2017年5月，就曾經爆發(fā)過勒索病毒W(wǎng)annaCry事件，當時Mac用戶得以幸免。不過MacOS的安全性神話并沒有延續(xù)很久，之后安全公司Fortinet和AlienVault分別發(fā)現(xiàn)了兩種針對MacOS的惡意軟件服務——MacRansom勒索程序和MacSpy惡意軟件服務（MaaS）。

其中，MacRansom是迄今為止首個針對MacOS的勒索病毒，病毒代碼通過黑市傳播，目前雖然是免費的，但程序本身采用封閉服務，使用者需要先通過電子郵件與制作者取得聯(lián)系，之后才能獲得程序代碼。

與此前Windows系統(tǒng)中發(fā)現(xiàn)的勒索病毒原理類似，MacRansom同樣也是通過鎖定Mac電腦上的文件來向用戶索要贖金，每次的費用為0.25比特幣，約合700美元。MacSpy屬于遠端存取木馬，目前擁有免費版和付費版兩種形態(tài)，免費版可以實現(xiàn)屏幕截圖、鍵盤記錄、聲音記錄以及iCloud同步等功能，而且不會留下任何痕跡。

付費版的功能更加強大，可以打開系統(tǒng)文檔、加密系統(tǒng)目錄以及用戶的郵件及社交軟件賬戶信息。值得一提的是，MacSpy開發(fā)團隊表示，越來越多的人都因為覺得MacOS更安全而開始使用該系統(tǒng)，所以此次打造了這款惡意病毒來告訴大家，并沒有任何一款操作系統(tǒng)是完美的。

鑒于MacSpy為現(xiàn)在首個蘋果的勒索軟件，所以它的開發(fā)者在傳播該軟件時還是比較小心的。如果“實驗者”想要得到免費的版本，就必須先以電子郵件與開發(fā)者進行溝通，等確認后，他們才會向你發(fā)送該軟件，文檔服務器包含四個文件：1.Mach-O 64位可執(zhí)行文件稱為“更新”;2.Mach-O 64位可執(zhí)行文件名為“webkitproxy”;3.Mach-O 64位動態(tài)鏈接共享庫稱為“l(fā)ibevent-2.0.5.dylib”;4.配置文件。

在檢查了webkitproxy和libevent-2.0.5.dylib之后，它們由Tor端口進行傳動，可以得出結論，它們的功能可能與洋蔥路由器路由存在某些關聯(lián)。而接下來，在進一步分析配置文件的內容時，可以看出“更新”的文件沒有經過數(shù)字簽名，而且目前各種殺軟產品還沒有發(fā)現(xiàn)該配置文件中的信息。

可惡的是，MacSpy已經具有了反偵查的能力，在進行攻擊時，它做的第一件事是檢查軟件是否在非Mac環(huán)境下運行或者是否在調試環(huán)境下運行。為了防止調試，MacSpy使用了PT_DENY_

ATTACH選項來調用ptrace。這是一個常見的反調試器檢查，MacSpy已將反調試器檢查附加到惡意進程中。

在通過反分析檢查和持久性攻擊設置后，MacSpy便會開始執(zhí)行攻擊。MacSpy會將自身和相關文件從原始執(zhí)行點復制到“？/ Library / .DS_Stores /”，并刪除原始文件，這樣做是為了不留下操作痕跡，使其盡量保持隱藏狀態(tài)。

人們普遍認為，當他們使用系統(tǒng)封閉性較強的Mac時，沒有惡意軟件能攻擊他們。因為目前仍有超過9成的個人電腦采用Windows作業(yè)系統(tǒng)，只有不到6.4%的個人電腦在運行Mac系統(tǒng)，但不論如何這樣的觀念都是錯誤的。

雖然這個Mac惡意軟件可能不是第一個被開發(fā)出的軟件，但卻是第一個被發(fā)現(xiàn)的軟件，也許早有類似的軟件隱藏在個人Mac里。而且MacSpy的功能豐富，它表明，隨著OS X的市場份額不斷增長，越來越多的惡意軟件的開發(fā)者將會投入更多的時間和精力來生產對應的攻擊軟件。

進入2022年，蘋果公司決定加強其產品免受世界上最復雜的間諜軟件的攻擊，并計劃發(fā)布工具Lockdown（被稱為鎖定模式）。使用時，出于安全目的，它將限制應用程序、網(wǎng)站和部分功能的功能。例如在 iPhone 上，它會阻止大多數(shù)消息附件，以及之前未與用戶通話陌生人的FaceTime通話。

事情的起因要從去年11月說起，當時蘋果起訴了一家名為NSO Group的以色列網(wǎng)絡安全公司，指控該公司部署了惡意軟件和間諜軟件產品及服務，以針對記者、活動家、學者和政府官員使用的蘋果產品。

“這其中包括一些主權政府的攻擊，這些政府支付數(shù)億美元來針對和攻擊一小部分用戶，這些用戶的信息對他們來說非常有誘惑力?！碧O果在向美國北方地方法院提起的訴訟中表示。

據(jù)發(fā)現(xiàn)該問題的學術研究機構Citizen Lab稱，第二季度蘋果已更新其軟件，以修復NSO一直在利用該漏洞中的iMessage靜默感染 iPhone。Citizen Lab 將此事描述為“零點擊”攻擊——一種罕見且危險的入侵。與典型的黑客攻擊不同，它們不需要用戶單擊鏈接來感染設備。

NSO 方面則表示，它為世界各地的情報和執(zhí)法機構提供打擊恐怖分子和犯罪的工具，并終止了與濫用其軟件的政府的合同（這樣看起來，變相承認了蘋果的指控）。該公司辯稱，蘋果的訴訟應該被駁回，部分原因是它作為外國政府的代理人不受此類訴訟的影響。

作為 iPhone、iPad 平板電腦和 Mac 電腦新操作系統(tǒng)的一部分，蘋果認為：“鎖定模式將減少攻擊面并增加雇用間諜軟件公司的成本，從而使專制政府更難破解高風險用戶?！碧O果還計劃隨著時間的推移加強該功能，并承諾獎勵在鎖定模式中發(fā)現(xiàn)弱點的研究人員，為符合條件的問題提供高達 200 萬美元的獎金。

“雖然絕大多數(shù)用戶永遠不會成為針對性強的網(wǎng)絡攻擊的受害者，但我們將孜孜不倦地保護少數(shù)用戶。”蘋果安全工程和架構負責人伊萬·克里斯提說?！斑@包括繼續(xù)專門為這些用戶設計防御措施，以及支持世界各地的研究人員和組織抵制數(shù)字攻擊。”