보안 도구는 증가하는 Mac 맬웨어 위협에 직면하여 필요악입니다. 다행스럽게도 Objecive-See의 무료 선물과 같은 적절한 도구를 사용하여 자신을 보호하고 마음의 평화를 회복할 수 있습니다.
이 프로젝트는 자신의 컴퓨터를 보호하기 위한 다양한 도구를 만든 보안 연구원인 Patrick Wardle의 아이디어입니다. 이후 그는 모두 무료로 출시했으며 연구 및 교육 목적으로 알려진 Mac 맬웨어 저장소를 유지 관리하고 있습니다.
라인업을 살펴보고 이러한 도구를 사용하여 Mac을 더 잘 보호하는 방법을 살펴보겠습니다.
1. 방해 금지
기능: MacBook에 대한 물리적 접근 공격에 대한 알림을 받으세요.
MacBook을 가지고 여행하거나 직장에서 "기기 가져오기" 방식을 선호한다면 물리적 액세스 공격이 노트북의 가장 큰 위협이 될 수 있습니다. 우리 중 많은 사람들이 악의적인 USB 장치 및 다른 사용자가 제기하는 실제 위협에 대해 생각하지 않고 커피를 마시기 위해 노트북을 방치합니다.
방해 금지는 경고를 보내거나 사용자 지정 작업을 실행하는 옵션과 함께 알려진 모든 "뚜껑 열림" 이벤트를 기록하는 영구 실행 프로세스를 설치합니다. 동반 iOS 앱과 함께 사용할 때 가장 잘 작동하므로 웹캠을 사용하여 범인의 사진을 찍거나 원격으로 Mac을 종료하는 등의 회피 작업을 수행할 수 있습니다.
앱을 설치하면 물리적 액세스 이벤트 로그를 볼 수 있으며 iOS 대응 앱이 필요하지 않습니다. 수동 로깅(보이지 않는 경고 없음)을 사용하고 메뉴 표시줄 아이콘을 숨겨 앱을 "보이지 않게" 실행하기 위한 기본 설정도 있습니다.
다운로드: 방해 금지
2. 톡톡
기능: Mac에서 영구적인 맬웨어의 징후가 있는지 검사합니다.
KnockKnock은 기본적인 맬웨어 스캐너 이상으로 지속적으로 맬웨어, 즉 반복적으로 설치되는 악성 코드의 징후를 찾습니다. 이것은 일반적으로 컴퓨터가 다시 시작될 때 발생합니다. KnockKnock은 온라인 탐지 도구인 VirusTotal과 통합되므로 알려진 맬웨어는 탐지 시 빨간색으로 강조 표시됩니다.
VirusTotal 통합은 훌륭하지만 앱은 지속적으로 설치된 다른 응용 프로그램도 보고합니다. 대부분의 결과는 무해하지만 목록을 살펴보고 이상한 점을 발견했는지 확인할 수 있는 기회를 제공합니다. 이 앱은 플러그인, 브라우저 확장, 실행 및 로그인 항목, 커널 확장을 비롯한 다양한 유형의 영구 설치 프로그램을 감지합니다.
다운로드: 노크 노크
3. 작업 탐색기
기능: Apple의 Activity Monitor 작업 관리자의 보안 중심 버전과 같습니다.
TaskExplorer는 VirusTotal 통합을 제외하고 Mac과 함께 제공되는 Activity Monitor 앱과 매우 유사합니다. 즉, 앱은 현재 실행 중인 알려진 악성 프로세스에 플래그를 지정합니다. 분석을 위해 알지 못하는 모든 것을 VirusTotal의 서버로 보낼 수 있습니다.
앱은 실행 중인 프로세스의 서명 상태를 빠르게 보고, 로드된 동적 라이브러리, 네트워크 연결 세부 정보 및 주어진 작업에서 현재 사용 중인 파일을 볼 수 있습니다. KnockKnock과 유사하지만 여기서는 실행을 담당하는 코드가 아니라 이미 시작된 프로세스에 중점을 둡니다.
다운로드: 작업 탐색기
4. 블록블록
기능: 맬웨어 설치 프로그램을 찾고 차단을 시도합니다.
KnockKnock이 맬웨어를 담당하는 설치 프로그램을 찾는 동안 BlockBlock은 설치를 완전히 거부하려고 시도합니다. 백그라운드에서 지속적으로 실행하고 일반적인 지속성 위치를 모니터링하고 의심스러운 것을 감지하면 경고를 표시하여 이를 수행합니다.
예상대로 BlockBlock은 VirusTotal과 통합됩니다. 알려진 맬웨어에 플래그를 지정하지만 BlockBlock의 탐지 항목 중 상당수는 일상적인 작업을 수행하는 합법적인 앱입니다. BlockBlock은 탐지된 설치를 차단하는 옵션을 제공합니다. 또한 앱은 설치 프로그램이 Apple에 의해 서명되었는지, 제3자가 서명했는지 또는 완전히 서명되지 않았는지 보고합니다.
다운로드: 차단 차단
5. 몸값은 어디에?
기능: 랜섬웨어 공격을 방지하기 위해 새로 생성된 암호화된 파일을 모니터링합니다.
랜섬웨어는 데이터에서 사용자를 잠그는 특정 유형의 맬웨어로, 일반적으로 파일을 안전하게 반환하기 위해 일종의 지불을 요구합니다. 이 특정 맬웨어 디자인의 특징은 의심스러운 프로세스에 의해 암호화된 파일이 생성된다는 것입니다.
몸값어디? 랜섬웨어의 알려진 징후가 있는지 시스템을 모니터링하여 프로세스를 차단하고 가능한 위협을 허용하거나 종료하라는 메시지를 표시합니다. 앱은 앱을 다운로드하기 전에 설치된 Apple 서명 소프트웨어 및 소프트웨어를 명시적으로 신뢰하면서 암호화된 파일을 빠르게 생성하는 신뢰할 수 없는 프로세스에 플래그를 지정합니다.
다른 Objective-See 앱과 마찬가지로 RansomWhere? 맬웨어를 특별히 찾는 것이 아니라 맬웨어를 나타내는 작업을 찾습니다. 개발자가 가양성 횟수를 최소로 유지하려고 노력했지만 앱이 합법적인 프로세스에 플래그를 지정할 수 있습니다.
다운로드: 몸값어디에?
6. 감독
기능: 마이크나 카메라가 활성화되면 알려줍니다.
가장 단순한 Objective-See 앱 중 하나인 OverSight는 Mac의 마이크나 웹캠이 켜지면 알려줍니다. 사용자를 기록하거나 스트리밍하려고 시도하는 Mac 맬웨어의 알려진 예가 있으므로 많은 사용자가 예방 조치로 웹캠을 가리고 있습니다.
OverSight는 웹캠 또는 마이크 이벤트를 모니터링하고 보고합니다. 경고에는 허용 프롬프트와 함께 프로세스 이름과 프로세스 식별자가 포함됩니다. 또는 차단 요청. 또한 항상 승인할 필요가 없도록 안전한 애플리케이션을 화이트리스트에 추가할 수 있습니다.
가장 흥미롭게도 앱은 합법적인 웹캠 또는 마이크 요청을 피기백하려는 2차 프로세스를 감지하려고 시도합니다. 오류가 없는 것은 아니지만 없는 것보다는 낫습니다.
다운로드: 간과
7. KextViewr
기능: 현재 로드된 커널 확장을 나열합니다.
커널 확장("kext"라고 함)에는 macOS에서 가장 높은 권한이 부여되므로 신뢰할 수 없는 모듈을 실행하지 않는 것이 중요합니다. KextViewr는 현재 로드된 모든 kext를 서명 상태, 설치된 파일 경로, 그리고 아마도 가장 중요하게는 VirusTotal과 상호 참조된 해시의 결과와 함께 표시합니다.
다음 해시태그를 사용하여 이러한 프로세스를 필터링할 수 있습니다. #apple , #애플이 아닌 , #서명 , #서명되지 않음 , 및 #플래그 . 그 이상은 없습니다!
다운로드: KextViewr
8. 귀하의 서명은 무엇입니까
기능: 앱의 서명 상태를 확인하여 신뢰도를 확인하세요.
서명되지 않은 모든 앱이 위험한 것은 아닙니다. 개발자가 개발자 라이선스를 얻을 자금이 부족하기 때문에 많은 오픈 소스 프로젝트와 공짜는 서명되지 않았습니다. 이를 염두에 두고 서명된 앱은 서명되지 않은 앱보다 (보안 관점에서) 더 신뢰할 수 있습니다.
What's Your Sign은 서명 정보라는 새로운 오른쪽 클릭 컨텍스트 옵션을 추가합니다. . 그것을 클릭하면 앱이 Apple 서명인지, 타사 서명인지 또는 전혀 서명되지 않은지 확인할 수 있습니다. 그게 전부입니다.
다운로드: 당신의 신호는 무엇입니까
Mac 사용자를 위한 더 유용한 Objective-See 도구
여기에 있는 도구 외에도 Objective-See에는 특정 사용자가 관심을 가질 수 있는 몇 가지 다른 도구가 있습니다.
- 잠금:악용 가능한 것으로 알려진 서비스를 잠가서 Mac의 노출된 "표면적"을 빠르게 제한하는 방법을 제공하기 위해 El Capitan을 위해 작성되었습니다. 현재 High Sierra에서는 작동하지 않습니다.
- Ostiarius:El Capitan을 위한 또 다른 앱은 맬웨어가 Gatekeeper를 우회할 수 있도록 하는 보안 허점을 막기 위한 것이었습니다. macOS Sierra 및 이후 버전에서 Apple은 이 문제를 수정했으며 Ostiarius는 더 이상 필요하지 않습니다(하지만 El Capitan을 지나서 Mac을 업그레이드할 수 없는 경우 유용할 수 있음).
- dylib Hijack Scanner:Objective-See의 첫 번째 도구, 마지막으로 El Capitan용으로 업데이트되었습니다. 유사한 기능이 위의 TaskExplorer의 일부입니다.
보안 도구는 맬웨어 감염을 예방하고 감지하는 데 도움이 될 수 있지만 약간의 상식만 있으면 감염을 방지하는 데도 놀라운 도움이 될 수 있습니다. 관리자 비밀번호를 요구하는 프로세스, Gatekeeper 우회가 필요한 서명되지 않은 앱, 시스템 무결성 보호를 항상 활성화된 상태로 두는 프로세스를 항상 의심하십시오.