Система безопасности Apple, известная как XProtect, это незаметный, но важный компонент macOS, который защищает пользователей от различных видов вредоносного программного обеспечения. В последние годы регулярные обновления XProtect стали привычным явлением для многих пользователей и специалистов по безопасности, однако на этой неделе произошло нечто особенное, что стоит детально рассмотреть и понять, какой эффект это окажет на защиту ваших устройств. XProtect представляет собой комплекс защитных механизмов, включающих несколько разрозненных, но взаимодополняющих систем, каждая из которых выполняет свою уникальную функцию. Традиционный XProtect опирается на набор правил Yara, которые работают в рамках функции Gatekeeper — механизма, проверяющего новый исполняемый код при первом запуске приложения, а также в некоторых иных случаях в последних версиях macOS. Именно с помощью этих правил система выявляет известные вредоносные программы и блокирует их запуск на устройстве, предлагая пользователю удалить подозрительный файл.
Ещё одним немаловажным элементом является XProtect Remediator, доступный начиная с macOS Catalina. Этот компонент отвечает за ежедневное сканирование системы в фоновом режиме с целью обнаружить и удалить уже присутствующее на устройстве вредоносное ПО. В составе Remediator сейчас находится 24 модуля сканирования, каждый из которых специализирован на обнаружении разных семейств вредоносных программ. Интересно, что некоторые из этих модулей используют те же правила Yara, что и традиционный XProtect, что улучшает их эффективность по мере обновления базы данных угроз. Стоит отметить, что если XProtect Remediator обнаруживает и удаляет вредоносное ПО, пользователь не получает о том явных уведомлений.
Все подобные действия фиксируются в системных логах и могут быть отмечены как события безопасности, что позволяет сторонним программам мониторинга отслеживать и реагировать на подобных инциденты. Третья составляющая под общим названием XProtect — это механизм, известный под именем Bastion или XProtect Behavioural. В отличие от традиционного статического анализа вредоносного кода, Bastion работает на основе поведенческого анализа, постоянно отслеживая потенциально подозрительную активность в системе. К примеру, он фиксирует попытки изменения браузерных файлов или иных системных компонентов, которые могут указывать на вредоносные действия. Важным аспектом Bastion является не уведомление пользователя, а отправка информации в Apple для анализа и усовершенствования механизмов защиты.
В обновлении, вышедшем 8 июля, появилась новая версия XProtect 5304. В ней произошли значительные изменения в правилах Yara — добавлено обнаружение нового семейства вредоносного кода под кодовым названием Bonzai. Включено пять различных вариантов этого вредоносного ПО, с кличками Bonanza, Barricade, Blaster, Bonder и Banana. На данный момент общественные названия этих разновидностей не известны, однако есть предположения, что это один и тот же вредонос с несколькими модулями или же несколько родственников из одного семейства угроз. Анализ новых правил Yara указывает на то, что Bonzai вероятнее всего относится к типу «stеalers» — вредоносного ПО, предназначенного для кражи конфиденциальных данных с дальнейшей отправкой их на удалённые серверы злоумышленников.
В частности, в правилах упоминаются такие популярные браузеры, как Chrome, Brave, Edge и Firefox и их расширения, которые могут стать объектом интереса вредоносов. Кроме того, некоторые части вируса скомпилированы на языке программирования Go, который всё чаще используется в кроссплатформенных вредоносных программах из-за своей универсальности и простоты внедрения. Предыдущее масштабное обновление XProtect с добавлением новых правил наблюдалось в версиях 5284 и 5269, где были внесены данные о таких серьёзных угрозах, как Adload, Bundlore и Dolittle — угрозах, вызывавших значительную озабоченность среди специалистов по безопасности. В то же самое время произошли изменения в правилах Bastion. До настоящего времени добавление новых поведенческих правил было постепенным и скромным — максимальное количество за одно обновление было две.
Однако в свежем обновлении сразу появилось четыре новых правила, которые расширяют возможности Bastion в обнаружении подозрительных действий. Первое новое правило обращает внимание на отправку AppleEvents к браузерам Safari, Firefox и Chrome, что может свидетельствовать о попытках управления браузером посредством скриптов и автоматизации. Второе правило сосредоточено на отправке таких же событий к Finder и Terminal — это может указывать на попытки контролировать или запускать команды в терминале с использованием AppleScript. Третье правило связано с запросами Mach о службе com.apple.
pasteboard.1, что возможно связано с новыми мерами контроля доступа к буферу обмена в macOS 26 — ещё одной попыткой повысить безопасность пользовательских данных. Четвёртое правило фиксирует запись скрытых shell-скриптов в домашнем каталоге пользователя или в системных папках /etc, что является распространённым методом для сохранения вредоносных модификаций. Такие изменения в поведении Bastion позволяют Apple получать более глубокую информацию о деятельности новых вредоносных программ, таких как Bonzai, помогая лучше их выявлять и нейтрализовывать. XProtect Remediator, в свою очередь, из-за более сложного характера создания новых сканирующих модулей для новых вредоносных семейств, не получил в этой версии новых модулей для Bonzai.
Однако можно предположить, что разработка подобных дополнений ведётся и может быть выпущена в ближайшие недели. Это связано с тем, что обновление правил Yara, хотя и существенно ускоряет первые этапы обнаружения угроз, требует гораздо больше времени и тестирования для создания полноценного инструмента их удаления. Особый интерес среди специалистов и пользователей вызвало обсуждение происхождения нового семейства Bonzai. Некоторые эксперты связывают части обнаруженных вредоносных программ с известными хакерскими группами, включая DPRK BlueNoroff, которые занимаются целенаправленными атаками на криптовалютные и Web3 платформы. Такие связи подтверждаются анализом внешних источников и исследований, где наблюдаются схожие методы и коды, иногда написанные на языке Nim.
Наличие таких сложных и целеустремлённых угроз подчёркивает актуальность своевременных обновлений безопасности. Отмечают, что после установки обновлений от Apple перезапуск системы для начала работы новых правил не требуется. Обновления Yara активируются при следующей проверке исполняемого кода, Bastion правила начинают работать сразу после обновления, а изменения XProtect Remediator вступают в силу во время очередного ежедневного сканирования. Это обеспечивает максимально быструю защиту системы без необходимости вмешательства пользователя. В заключение следует сказать, что на фоне постоянно растущей сложности и изощрённости вредоносных программ Apple продолжает модернизировать свои системы защиты, объединяя статический и поведенческий анализ угроз.
Регулярные обновления XProtect и связанных с ним систем фундаментально важны для безопасности пользователей macOS, особенно в условиях появления новых целевых кибератак. В ближайшем будущем можно ожидать появления новых сканирующих модулей для XProtect Remediator, а также улучшения правил поведения Bastion, что дополнительно усилит защиту устройств. Пользователям macOS рекомендуется своевременно устанавливать все системные обновления и считаться с тем, что даже «невидимые» механизмы, такие как XProtect, непрерывно работают для того, чтобы сделать работу с их устройствами максимально безопасной.
