Защита от вредоносного ПО и кода в macOS
Apple использует процесс анализа угроз для быстрого выявления и блокировки вредоносного ПО.
Три уровня защиты
Средства защиты от вредоносного ПО действуют на трех уровнях:
1. Предотвращение запуска или выполнения вредоносного ПО: App Store или Gatekeeper в сочетании со службой заверения
2. Блокировка работы вредоносного ПО в системах пользователя: Gatekeeper, служба заверения и XProtect.
3. Устранение вредоносного ПО, которое уже заразило систему: XProtect
Первый уровень защиты предназначен для предотвращения распространения вредоносного ПО или его однократного запуска. За это отвечают App Store и Gatekeeper в сочетании со службой заверения.
Следующий уровень защиты помогает быстро обнаружить и блокировать вредоносное ПО в случае его появления на компьютере Mac, что необходимо как для остановки распространения, так и для очистки систем Mac, в которые оно уже внедрилось. В дополнение к Gatekeeper и службе заверения на этом уровне подключается XProtect.
Наконец, XProtect занимается устранением вредоносного ПО, которое смогло успешно запуститься в системе.
В совокупности эти средства, как описано далее, обеспечивают соответствующую надлежащей практике защиту от вирусов и вредоносного ПО. Существуют и другие средства защиты, в частности на компьютере Mac с чипом Apple, для ограничения потенциального ущерба от вредоносного ПО, которому удалось запуститься в системе. macOS может помочь защитить пользовательские данные от вредоносного ПО (см. раздел Защита при доступе приложений к пользовательским данным) и может ограничивать действия, доступные вредоносному ПО в системе (см. раздел Целостность операционной системы).
Заверение
Заверение — это служба компании Apple, используемая для выявления вредоносного ПО. Разработчики, которые хотят распространять приложения для macOS не через App Store, отправляют свои приложения на проверку в рамках процесса распространения. Apple проверяет полученное программное обеспечение на наличие известного вредоносного ПО и, если оно не обнаружено, выдает билет заверения. Обычно разработчики прикрепляют этот билет к своим приложениям, чтобы технология Gatekeeper могла проверить и запустить приложение даже без подключения к интернету.
Apple также может выпустить билет аннуляции для приложения, если стало известно, что оно является вредоносным, даже если ранее оно получило заверение Apple. macOS регулярно проверяет наличие новых билетов аннуляции, так что Gatekeeper владеет самой актуальной информацией и может блокировать запуск таких файлов. Этот процесс позволяет очень быстро блокировать вредоносные приложения, поскольку обновления выполняются в фоновом режиме и гораздо чаще, чем даже фоновые обновления сигнатур XProtect. Кроме того, этот механизм защиты может применяться к приложениям, которые ранее были заверены компанией Apple, и к тем, которые не прошли этот процесс.
XProtect
В macOS встроена антивирусная система, которая называется XProtect. Она обнаруживает и удаляет вредоносное ПО путем его сравнения с базой сигнатур. Эта система использует сигнатуры YARA, чтобы обнаруживать вредоносное ПО путем сравнения подозрительных файлов с базой сигнатур, регулярно обновляемой Apple. Apple отслеживает новые случаи заражения и разновидности вирусов и автоматически — отдельно от системных обновлений — обновляет сигнатуры. Это позволяет предупредить заражение компьютера Mac вредоносным ПО. XProtect автоматически распознает и блокирует выполнение известного вредоносного ПО. В macOS 10.15 и новее XProtect проверяет программное обеспечение на наличие известного вредоносного контента в следующих ситуациях.
Приложение запускается в первый раз.
Приложение было изменено (в файловой системе).
Сигнатуры XProtect были обновлены.
Когда XProtect распознает известное вредоносное программное обеспечение, оно блокируется, пользователь получает уведомление и может сразу переместить это программное обеспечение в корзину.
Примечание. Заверение эффективно в отношении известных файлов (или хешей файлов) и может использоваться для приложений, которые ранее уже запускались. Правила анализа сигнатур XProtect являются более универсальными, чем хеш конкретного файла, поэтому данная технология может распознавать варианты, которые Apple еще не видела. XProtect сканирует только те приложения, которые были изменены или запускаются впервые.
Если вредоносное программное обеспечение проникнет на Mac, в этом случае XProtect применит технологию для устранения заражений. Например, ее модуль, предназначенный для устранения заражения, получает автоматические обновления от компании Apple (в автоматических обновлениях системных файлов и в обновлениях системы безопасности). Эта система удаляет вредоносное ПО после получения обновленной информации и продолжает периодически проверять наличие заражений; однако XProtect не перезагружает Mac автоматически. Кроме того, в XProtect встроены передовые инструменты обнаружения неизвестного вредоносного ПО на основе анализа его поведения. Информация о вредоносном ПО, распознанном этими инструментами, в том числе о том, какое ПО ответственно за его загрузку, используется для улучшения сигнатур XProtect и безопасности macOS.
Автоматические обновления системы безопасности XProtect
Apple автоматически выпускает обновления для XProtect на основе актуальной доступной информации об угрозах. По умолчанию macOS проверяет наличие таких обновлений ежедневно. Обновления службы заверения, которые распространяются с использованием синхронизации CloudKit, происходят намного чаще.
Реагирование Apple на обнаружение нового вредоносного ПО
Обнаружение нового вредоносного ПО приводит к принятию ряда мер.
Отзываются любые связанные сертификаты, привязанные к идентификатору разработчика.
Выпускаются билеты аннуляции заверения для всех файлов (приложений и связанных файлов).
Разрабатываются и выпускаются сигнатуры XProtect.
Выявленные сигнатуры также применяются ретроактивно к ранее заверенному программному обеспечению, а любые новые случаи обнаружения приводят к выполнению одного или нескольких действий, описанных ранее.
В итоге обнаружение вредоносного ПО запускает ряд шагов, выполняемых в течение последующих секунд, часов и дней, чтобы защитить пользователей Mac, насколько это возможно.