黑客利用 macOS 内置防护功能部署恶意软件

发布时间：2025-11-05 13:35:48 作者：玩站小弟

macOS 长期以来因其强大集成的安全防护体系而备受赞誉，但网络犯罪分子正试图将这些防御机制武器化。最新事件显示，攻击者正利用钥匙串Keychain）、系统完整性保护SIP）、透明化同意与控制TCC）。

macOS 长期以来因其强大集成的黑客护功安全防护体系而备受赞誉，但网络犯罪分子正试图将这些防御机制武器化。利用最新事件显示，内能部攻击者正利用钥匙串（Keychain）、置防系统完整性保护（SIP）、署恶透明化同意与控制（TCC）、意软Gatekeeper、黑客护功文件隔离（File Quarantine）、利用XProtect 和 XProtect Remediator 等原生功能隐蔽投放恶意载荷。内能部

核心发现：

滥用 macOS 工具(钥匙串、置防SIP、署恶文件隔离)实施凭证窃取和防御规避通过禁用 Gatekeeper、意软TCC 点击劫持和卸载 XProtect 实现防御规避结合 ESF 日志与 Sigma 规则及第三方 EDR 确保威胁检测

macOS 内置防护机制的黑客护功滥用

卡巴斯基报告指出，攻击者已从粗暴利用转向精细滥用合法工具和功能。利用常见攻击向量涉及钥匙串：攻击者使用/usr/bin/security list-keychains和security dump-keychain等原生命令窃取凭证。内能部

为检测此类未授权操作，企业需通过端点安全框架（ESF）记录进程创建事件，并对命令行匹配security -list-keychains或-dump-keychain的操作进行标记。相关 Sigma 规则会在攻击凭证访问（T1555.001）场景下触发警报。亿华云

系统完整性保护（SIP）是另一攻击目标。攻击者通常在进入恢复模式执行恶意操作前，先用csrutil status探测 SIP 状态。由于恢复模式操作会逃逸常规日志记录，防御者应实施持续 SIP 状态监控，并在状态变更时生成警报——该方法与攻击发现（T1518.001）类 Sigma 规则相契合。

文件隔离、Gatekeeper 与 TCC 的武器化

文件隔离功能会为下载的可执行文件添加com.apple.quarantine属性，但攻击者可通过curl、wget等底层工具或调用xattr -d com.apple.quarantine命令绕过该防护。监控带有-d com.apple.quarantine参数的xattr执行可检测隔离属性移除尝试（对应防御规避类 Sigma 规则 T1553.001）。

Gatekeeper 依赖代码签名和spctl工具。卡巴斯基指出，攻击者可能直接禁用该功能，或诱导用户右键点击应用绕过签名检查。监控带有--master-disable或--global-disable参数的spctl命令可发现此类防御规避行为（Sigma T1562.001）。云服务器提供商

透明化同意与控制（TCC）通过基于 SQLite 的 TCC.db 数据库管理摄像头、麦克风和全磁盘访问权限。虽然修改 TCC.db 需禁用 SIP 或劫持系统进程，但攻击者会使用点击劫持覆盖层诱骗用户授予高权限。持续审计 TCC.db 变更和用户授权提示对早期预警至关重要。

XProtect 防护机制的突破

XProtect 和 XProtect Remediator 提供基于签名的恶意软件拦截和自动修复功能。高级攻击者会尝试通过注入未签名内核扩展（kext）或滥用launchctl卸载苹果守护进程来禁用这些服务。防御者必须监控launchctl unload和未签名 kext 加载行为。

尽管 macOS 的集成安全层非常强大，但攻击者持续进化以利用合法机制。实施基于 ESF 的详细日志记录、为关键命令模式部署 Sigma 规则，以及用第三方终端检测与响应（EDR）方案增强原生防御，可有效检测并阻止这些高级威胁。