mistycruzvv的部落格

趨勢科技指出，最近出現2隻針對Mac電腦的惡意軟體，分別為Snake（又稱為Turla、Uroburos和Agent.BTZ，趨勢科技偵測為OSX_TURLA.A）和Proton（OSX_PROTON.A）。兩者都是遠端存取木馬，讓攻擊者無須授權就可遠端連上系統，進而竊取中毒系統內儲存的檔案、資料和密碼，即時監看電腦螢幕並記錄鍵盤輸入。Snake早在2008年就開始出現在Windows作業系統，並被用在網路間諜活動上。到了2014年，其操作者開發了Linux版本。Snake透過攻擊一系列的漏洞來侵入目標。其rookit功能讓它可隱藏自己的惡意程序和檔案，好隱密的躲在系統內，讓偵測變得更加困難。趨勢科技指出，這次攻擊者將Windows版本的後門程式移植到Mac OS X系統，利用有問題的Adobe Flash Player安裝程式壓縮檔作誘餌。這版本的Snake利用有效的Apple開發者憑證（可能是偷來的）來繞過Gatekeeper（Mac OS X系統的安全功能）程式碼簽章限制，讓它可在系統內執行。Snake內所出現的除錯功能顯示它仍在開發中，預計很快就可全面運作。至於Proton後門程式的操作者，則是入侵HandBrake（一個熱門的開放程式碼轉檔軟體）的備用下載伺服器後，開始用來散播惡意軟體。根據HandBrake開發者論壇所發布的安全通告，這個入侵事件發生在5月2日至5月6日間。攻擊者用自己的惡意檔案替換掉原本正常的HandBrake應用程式，其中一個與網站或Github資源庫內的SHA1或SHA256哈希（Hash）不符。就跟Snake一樣，Proton利用簽章過的Apple憑證在中毒系統內執行，讓它可以竊取密碼，例如儲存在密碼儲存工具（如Apple自己的KeyChain或其他網頁型服務）內的密碼。趨勢科技提醒，這些威脅打破了 Mac系統不會中毒的想法。隨著Apple設備不斷提升市場占有率，惡意威脅也會隨之而來。趨勢科技光在去年12月就看到超過22萬1000次的 Mac威脅被偵測，跟去年11月僅8萬1000次相比，是大幅增長。事實上，趨勢科技已觀察到針對Apple使用者的惡意軟體在持續成長，各種Apple設備和軟體間越來越緊密的互動，只會激勵網路犯罪分子更加針對這些平台。HandBrakes開發者提醒使用者用OSX Activity Monitor，來確認檢查自己軟體是否執行名為「Activity_agent」程式。HandBrake的通知包含了SHA1和SHA256哈希（Hash），使用者可以加以比對檢查，以確認檔案是否包含Proton後門。該通告還提供如何清除惡意軟體的說明。鑑於Snake和Proton都被設計來竊取包含密碼的資訊，建議使用者要立即變更密碼以防遭到入侵和資料外洩攻擊。此外，使用者和企業可以在端點進行檔案和資料加密，防止攻擊者取得敏感資料。趨勢科技提醒，一般使用者和企業也應該保持良好的安全習慣：*保持軟體和作業系統更新
*啟用Gatekeeper
*從官方Apple商店下載
*對撤銷或未簽章憑證的應用程式保持警覺
*不要打開電子郵件、網站或是社群網路內可疑或未經確認的檔案或連結（生活中心╱台北報導）