di Umberto Pirovano, Manager, Systems Engineering, Palo Alto Networks
Ora che il 91% delle grandi aziende fa ormai uso di computer Mac, anche questi dispositivi sono diventati un obiettivo sempre più attraente per gli attacchi cyber. Il successo di attacchi come KeRanger, XAgent, MacOSDynamic, Linker Exploitation e IoS Trifecta ha mostrato come gli endpoint Mac, una volta considerati praticamente inattaccabili, sono ora sensibili a diverse tipologie di malware ed exploit.
Le minacce più comuni per i Mac
Il team di threat intelligence Unit 42 di Palo Alto Networks ha osservato un incremento costante nel volume di minacce basate su MacOS. La loro ricerca ha permesso di identificare quattro categorie principali per queste minacce:
- Prodotti indesiderati e potenzialmente pericolosi (PUP)
- Trojan e backdoor, come OSX/Dok o Kumar in the Mac (KitM), noto anche come HackBack,
- Minacce mirate, come OceanLotus, Sofacy X-Agent, o MacDownloader
- Strumenti di hacking come PowershellEmpireOSX
Uno dei meccanismi di infezione più frequenti per gli endpoint Mac è rappresentato dai messaggi email di phishing e social engineering. Si tratta di messaggi che contengono file ZIP, che spingono l’utente a installare applicazioni illegittime, che sembrano invece provenire da Developer ID ufficiali di Apple. Altre tecniche di infezione comprendono falso software antivirus e attacchi basati sul malware Python.
Proteggere i Mac dalle minacce moderne
Una soluzione proposta per difendersi da queste minacce è quella di utilizzare Gatekeeper, la funzionalità di sicurezza integrata in MacOS. Gatekeeper controlla, prima che venga utilizzata, che ogni applicazione scaricata sia stata verificata come sicura, oppure resa disponibile da uno sviluppatore certificato. Questo approccio ha però mostrato di avere qualche debolezza e vulnerabilità logiche potenziali, poiché Gatekeeper controlla la digital signature dell’applicazione immediatamente dopo la sua esecuzione, permettendo così agli hacker di eseguire processi aggiuntivi.
Un’altra soluzione proposta è stata quella di utilizzare prodotti antivirus di terze parti. Ma in questo caso, le problematiche e i punti di debolezza associati alla protezione degli endpoint Windows con antivirus valgono anche se si desiderano proteggere gli endpoint MacOS – dipendenza dalla corrispondenza delle singole signature, regolarità degli aggiornamenti, possibilità di identificare solo le minacce note e incapacità di riconoscere minacce zero-day.
Le minacce arrivano da fonti diverse, sotto forme anche molto differenti, e una protezione endpoint dovrebbe utilizzare metodologie differenti per garantire la massima protezione. Il malware noto deve essere riconosciuto e bloccato all’istante; il malware che non è mai stato visto prima deve essere identificato ugualmente con celerità, e bloccato in tempo reale prima che possa infettare il sistema; le funzionalità integrate di prevenzione dei dispositivi Mac e Gatekeeper devono essere potenziate, consentendo solo l’esecuzione dei processi sulla base dei livelli di signature verificati.
Gli hacker usano gli exploit per sfruttare le vulnerabilità di un sistema; spesso, ci sono vulnerabilità che non sono state ancora scoperte, o per cui non esiste ancora una patch. Anche se sempre più numerosi per quantità e varietà, questi exploit di solito utilizzano lo stesso set di tecniche. Tra queste vi sono corruzione di memoria, errori logici ed escalation dei privilegi. Concentrare le attività di prevenzione su queste tecniche di base alleggerisce la necessità di urgenza e immediatezza del patching e riduce la minaccia derivante da exploit zero-day.
Ricorrere a più livelli di protezione per tutte le fasi critiche del ciclo di vita di un attacco può bloccare sia il malware che gli attacchi basati su exploit. Questo approccio si rivela particolarmente efficace se costruito su una piattaforma che integra la threat intelligence ed offre protezione su più siti diversi e non coerenti, e può realmente proteggere gli endpoint Mac da malware ed exploit.
