Malwarejagd auf macOS – Incident Response and Threat Hunting
Wer Spuren von Malware in macOS sucht, muss dessen Sicherheitskonzept kennen und eine Reihe von Besonderheiten beachten. Gute Hilfe leisten spezielle Tools.
In den letzten Jahren hat der Marktanteil von macOS-Geräten stetig zugenommen und lag zuletzt über 20 Prozent. In Deutschland waren es etwa 14 Prozent (siehe ix.de/zuq2). Dabei sind es nicht nur private Anwender, sondern auch immer mehr Unternehmen, bei denen das Apple-Betriebssystem zum Einsatz kommt – das so auch für Cyberkriminelle immer interessanter wird. Während Angriffe auf Windows-Systeme nach einem Bericht der Elastic Security Labs (ix.de/zuq2) mit 94 Prozent nach wie vor den Löwenanteil ausmachen, war für macOS ein Anstieg von 118 Prozent bei den Endpoint-Verhaltenswarnungen festzustellen. Genügend Gründe also, sich die Sicherheitsfunktionen der aktuellen macOS-Version 14 Sonoma einmal im Detail anzusehen.
Wie kommt die Malware auf den Mac?
Die bei Weitem häufigste Infektionsquelle sind nach wie vor aus unsicheren Quellen heruntergeladene Programme. Apple versucht die Sicherheit zu garantieren, indem zum einen der App Store Software prüft und signiert und zum andern macOS sie automatisch in einer Sandbox ausführt. Das ist für Angreifer weniger attraktiv. Jenseits des App Stores gibt es weitere Wege, um neue Programme auf den Mac zu bringen: Die am häufigsten genutzten Formen sind Disk-Images (.dmg) oder Packages (.pkg), die Entwicklerinnen und Entwickler zum direkten Download bereitstellen. Auch sie sind in der Regel mit einer Signatur versehen, die das Betriebssystem überprüfen kann. Bezieht man seine Software hingegen aus dubioseren Quellen, besteht das Risiko, dass man mehr bekommt als erwartet und dass Hacker in den heruntergeladenen DMG- oder PKG-Dateien Schadsoftware versteckt haben.
