您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给大壮旅
发送

0

macOS 用起来也得“守规矩”,否则 Calisto 病毒就会趁虚而入

本文作者:大壮旅 编辑:李勤 2018-07-22 14:33
导语:千万别拿系统安全不当回事。

macOS 用起来也得“守规矩”,否则 Calisto 病毒就会趁虚而入

雷锋网消息,据外媒7月21日报道,卡巴斯基实验室的安全专家最近揪出了名为 Calisto 的恶意病毒,这家伙居然是 macOS 上臭名昭著的 Proton 病毒的前身。

卡巴斯基在分析报告中写道,2016 年被创造出来后,该病毒就被上传到了 VirusTotal、不过整整两年后的 5 月份,Calisto 依然藏在反病毒解决方案的盲区中,最近才有人真正重视这个问题。

“从理论上来讲,这个 Calisto 后门可能是 Backdoor.OSX.Proton 病毒家族的成员。” 卡巴斯基的专家解释道。不过,Calisto 使用的恶意代码开发于 2016 年,而 Proton 则是 2017 年才进入安全专家的视野。

专家指出,Calisto 其实 2016 年就被上传 VirusTotal,但直到今年卡巴斯基都不知道这一威胁是如何“繁殖”起来的,意识到这一点后它们迅速发现,一些 Calisto 携带的功能现在还处在无人监管的情况下。

据悉,Calisto 的安装文件是一个未签名的 DMG 图片,不过它却用 Intego 安全解决方案(Mac 版)做了伪装。同时,卡巴斯基还注意到,虽然与 Proton 同根同源,但 Proton 的一些功能并没有出现在 Calisto 中。

Proton 的真面目去年 3 月份才大白于天下,制造这一麻烦的黑客居然在地下黑客论坛公然兜售这一病毒,整个项目价格在 1200-830000 美元不等。

几周之后,Proton 就首次参与到了黑客攻击中去,罪犯们黑掉了 HandBrake 应用的网站并将病毒植入了这款应用。2017 年 10 月,又有人将 Proton RAT 植入了合法应用,如 Elmedia Player 和下载管理器 Folx。无论是 Proton RAT 还是 Calisto 均为远程访问特洛伊木马(RAT),一旦被感染,黑客就能取得系统的控制权。

雷锋网了解到,如果 Mac 被 Calisto 感染,黑客就能轻松远程实现下列功能:

1. 进行远程登录

2. 分享屏幕

3. 为用户设定远程登录许可

4. 在 macOS 下创立隐藏的“根”账户,并专门为特洛伊代码设立密码

专家对其进行静态分析后还发现了另外几个尚未完成的功能,比如:

1. 为 USB 设备加载或卸载 Kernel 拓展

2. 从用户公司名录盗取数据

3. 与操作系统“同归于尽”

安全专家指出,Calisto 其实在苹果推出 SIP(系统完整性保护)安全机制前就开始研发了,因此它无法绕过 SIP。

“Calisto 在装有 SIP 的电脑上会‘束手束脚’,这套安全机制随 OS X El Capitan 诞生。有了 SIP,苹果就能防止关键的系统文件被更改,即使有根权限的用户也无能为力。”研究人员解释道。“Calisto 的开发时间可能在 2016 年或更早,而且其创造者当时没考虑到 SIP 这项新技术的威力。不过,许多用户还是因为各种各样的原因关掉了 SIP,给黑客以可乘之机。”

也就是说,只要你“乖乖听话”,打开苹果推荐的下列几项安全机制,最新的 macOS 是不可能被 Calisto、Proton 和类似的威胁攻破的。

1. 及时将操作系统升级至最新版本

2. 永远不要关掉 SIP

3. 只运行从可信商店下载的签名软件,如 App Store

4. 打开杀毒软件

最后,安全专家还透露称,Calisto 病毒其实已经被原作者抛弃了。


雷锋网(公众号:雷锋网)Via. Security Affairs

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说