Gotowość na zagrożenia dla macOS: rozszerz możliwości analizy swojego działu SOC dzięki ANY.RUN

Zespoły ds. bezpieczeństwa w przedsiębiorstwach nie bronią już środowisk opartych na jednej platformie. Oczekuje się od nich codziennego badania zagrożeń na wielu systemach, często pod stałą presją czasu, aby szybciej podejmować właściwe decyzje. Gdy procesy analizy są rozproszone między różne narzędzia i środowiska, proces kategoryzacji zagrożeń spowalnia, dochodzenia trwają dłużej, a ryzyko biznesowe rośnie.

Aby pomóc zespołom SOC i dostawcom MSSP sprawniej radzić sobie z zagrożeniami wieloplatformowymi, ANY.RUN rozszerzył listę systemów operacyjnych dostępnych w sandboksie o macOS. Dzięki temu w ramach jednego środowiska zespoły bezpieczeństwa mogą prowadzić jeszcze więcej prac dochodzeniowych.

Infrastruktura wieloplatformowa wyzwaniem dla zespołów SOC 

Nowoczesne organizacje korzystają z wielu systemów operacyjnych, a zespoły bezpieczeństwa już dotychczas polegały na ANY.RUN przy badaniu zagrożeń w środowiskach Windows, Linux i Android. Wraz z rosnącą popularnością macOS w sektorze korporacyjnym, zespoły SOC muszą być gotowe do badania zagrożeń na tej platformie z taką samą szybkością i precyzją.

Potrzeba ta jest szczególnie istotna, ponieważ urządzenia z systemem macOS są powszechnie używane przez inżynierów, zespoły produktowe oraz kadrę zarządzającą. Użytkownicy ci często mają dostęp do systemów krytycznych, wewnętrznych repozytoriów i wrażliwych danych biznesowych. Cyberprzestępcy coraz częściej celują w te środowiska, stosując złośliwe programy przygotowywane z myślą o konkretnych platformach, phishing, narzędzia do kradzieży danych logowania oraz ataki typu BEC (Business Email Compromise).

Niestety wiele procesów dochodzeniowych nie ewoluowało w tym samym tempie. W wielu działach SOC analiza zagrożeń na różnych systemach wciąż wymaga oddzielnych rozwiązań, co spowalnia operacje bezpieczeństwa. Zamiast szybko weryfikować podejrzane pliki lub adresy URL, analitycy tracą czas na nawigowanie między wieloma narzędziami, co prowadzi do: 

  • spowolnienia kategoryzacji alertów,
  • wydłużenia prac dochodzeniowych,
  • narastania zaległości (alertów do obsłużenia),
  • wzrostu średniego czasu reakcji,
  • większego obciążenia i wypalenia analityków.

Gdy procesy dochodzeniowe spowalniają, rośnie ryzyko opóźnionej lub przeoczonej detekcji. Zespoły bezpieczeństwa potrzebują spójnego sposobu badania zagrożeń bez dodawania zbędnej złożoności do swojej pracy.

Rozszerzenie analizy międzyplatformowej o dostępność systemu macOS w sandboksie

Aby wspierać nowoczesne środowiska korporacyjne, ANY.RUN rozszerzył swoją piaskownicę o maszyny wirtualne macOS, dostępne obecnie w wersji beta dla użytkowników planu Enterprise Suite.

Dodatek ten wzmacnia możliwości analizy międzyplatformowej, pozwalając zespołom SOC na badanie podejrzanych plików i adresów URL w celu szybkiego wykrywania zagrożeń. Zamiast polegać na oddzielnych rozwiązaniach dla różnych systemów, analitycy mogą prowadzić dochodzenia w ramach jednego procesu obejmującego środowiska Windows, Linux, Android, a teraz także macOS.

Nawet jeśli incydenty specyficzne dla macOS zdarzają się w niektórych organizacjach rzadziej, zespoły SOC muszą być gotowe do natychmiastowego zbadania próbek przygotowanych przez atakujących dla tej platformy. macOS oferuje silne wbudowane zabezpieczenia, ale nie stanowią one pełnej ochrony przed nowoczesnymi zagrożeniami, zwłaszcza tymi wymierzonymi w kradzież danych czy dostępów o krytycznym znaczeniu dla biznesu.

Dzięki włączeniu macOS do sandboxa, analitycy mogą badać zagrożenia celujące w komputery firmy Apple bez konieczności korzystania z zewnętrznych środowisk czy budowania osobnej infrastruktury testowej.

Dlaczego interaktywna analiza zagrożeń dla macOS jest kluczowa we współczesnych operacjach bezpieczeństwa 

Kluczową funkcją udostępnianą przez ANY.RUN w ramach analizy zagrożeń dla macOS jest interaktywny sandboxing.

Niektóre zagrożenia dla komputerów Apple są zaprojektowane tak, by nie aktywować szkodliwych funkcji, dopóki użytkownik nie wykona określonych czynności, takich jak wpisanie hasła czy zatwierdzenie okna dialogowego systemu. Tradycyjne automatyczne sandboxy często nie potrafią wywołać takich zachowań, co sprawia, że złośliwa aktywność pozostaje ukryta.

Interaktywne środowisko ANY.RUN pozwala analitykom na replikowanie zachowań rzeczywistego użytkownika, co umożliwia wykrycie aktywności, które analiza automatyczna mogłaby pominąć:

  • wyłudzanie danych logowania przez fałszywe okna uwierzytelniania,
  • wieloetapowe łańcuchy infekcji aktywowane interakcją użytkownika,
  • operacje gromadzenia plików i wyprowadzania danych, które są uruchamiane dopiero po uwierzytelnieniu,
  • techniki socjotechniczne osadzone bezpośrednio w procesie uruchamiania złośliwego programu.

W rezultacie analitycy zyskują jaśniejszy obraz intencji atakujących i skutków zagrożenia, co pomaga podejmować decyzje szybciej i z większą pewnością.

Jak integracja sandboxa ANY.RUN podnosi wydajność SOC

Analiza międzyplatformowa poprawia sposób, w jaki zespoły bezpieczeństwa radzą sobie z podejrzaną aktywnością w codziennych operacjach kategoryzacji alertów i reagowania. Przekłada się to na mierzalne efekty:

  • Szybsza weryfikacja podejrzanych plików i adresów URL: analiza behawioralna pozwala potwierdzić złośliwą aktywność w ciągu kilku minut.
  • Krótsze cykle dochodzeniowe: analitycy natychmiast obserwują pełne zachowanie próbki, co ogranicza konieczność ręcznego korelowania danych z wielu narzędzi.
  • Lepsze pokrycie detekcji w różnych systemach: zespoły analizują zagrożenia specyficzne dla platform macOS, Windows, Linux i Android.
  • Wyższa produktywność analityków: ujednolicony proces ogranicza potrzebę przełączania się między narzędziami.
  • Mniej zaległych alertów: szybsze decyzje pomagają ustabilizować kolejkę zgłoszeń podczas kampanii phishingowych.

Przykład wzięty z życia: wykrywanie narzędzia kradnącego hasła w systemie macOS

Wraz ze wzrostem popularności systemu macOS w firmach, przestępcy coraz częściej tworzą złośliwe programy wycelowane w tę platformę. 

Przykładem jest Miolab Stealer. Przyjrzyjmy się, jak wygląda analiza tego zagrożenia w sandboksie ANY.RUN (pełny zapis analizy jest dostępny tutaj).

Analiza zagrożenia Miolab Stealer w sandboksie ANY.RUN
Analiza zagrożenia Miolab Stealer w sandboksie ANY.RUN

Próbka działa jako narzędzie do kradzieży danych logowania, które najpierw próbuje uzyskać hasło systemowe użytkownika. Wyświetla fałszywe okno dialogowe z prośbą o uwierzytelnienie i weryfikuje wpisane hasło za pomocą polecenia dscl -authonly.  

Okno zostało zaprojektowane tak, aby wyglądało niemal identycznie jak autentyczny komunikat systemowy macOS.

Wyglądające na oficjalne okno z komunikatem systemu macOS
Wyglądające na oficjalne okno z komunikatem systemu macOS

Po uzyskaniu hasła złośliwy program zbiera informacje o systemie i sprzęcie za pomocą narzędzia system_profiler. 

Gromadzenie informacji o systemie i sprzęcie z użyciem narzędzia system_profiler
Gromadzenie informacji o systemie i sprzęcie z użyciem narzędzia system_profiler

Następnie szkodnik uruchamia procedurę gromadzenia plików opartą na AppleScript, skanując foldery Biurko, Dokumenty i Pobrane. Miolab Stealer wybiera pliki PDF, TXT oraz RTF i kopiuje je do ukrytego folderu tymczasowego. Nazwy plików są sekwencyjnie zmieniane, a łączny rozmiar wysyłanych danych nie przekracza 10 MB

Uruchomienie skryptu AppleScript inicjującego gromadzenie danych
Uruchomienie skryptu AppleScript inicjującego gromadzenie danych

Zebrane dane są kompresowane do archiwum ZIP narzędziem ditto i wysyłane na serwer kontrolowany przez cyberprzestępców za pomocą żądania HTTP POST wykonanego przez polecenie curl. 

ANY.RUN wykrywa zachowanie związane z wyprowadzaniem danych poprzez polecenie curl
ANY.RUN wykrywa zachowanie związane z wyprowadzaniem danych poprzez polecenie curl

Na koniec szkodnik wyświetla kolejny fałszywy komunikat o błędzie, aby zasugerować użytkownikowi, że wykonywanie operacji systemowej nie powiodło się.

Fałszywy komunikat o błędzie ukrywający działanie złośliwego programu
Fałszywy komunikat o błędzie ukrywający działanie złośliwego programu

Z perspektywy detekcji, ten łańcuch działań można zidentyfikować po kombinacji wskaźników behawioralnych (np. użycie osascript do zwodniczych komunikatów czy ditto do tworzenia archiwów). Obserwacja tego zachowania w sandboksie daje analitykom natychmiastową jasność co do intencji próbki.

Informacje o ANY.RUN 

ANY.RUN pomaga zespołom bezpieczeństwa w szybszym i precyzyjniejszym analizowaniu zagrożeń. Interaktywny sandbox ujawnia pełne zachowanie złośliwych obiektów w czasie rzeczywistym – od uruchamiania procesów i przekierowań po aktywność sieciową oraz pobierane pliki. Daje to analitykom pełny wgląd pozwalający na podejmowanie świadomych, opartych na dowodach  decyzji w zakresie dalszych działań wiązanych z incydentami.

Działający w chmurze sandbox ANY.RUN nie wymaga żadnej inwestycji w dodatkowy sprzęt czy oprogramowanie i obsługuje środowiska Windows, Linux, macOS oraz Android, pozwalając na łatwą i szybką analizę phishingowych wiadomości e-mail, adresów URL oraz podejrzanych obiektów bez konieczności utrzymywania własnej, skomplikowanej infrastruktury maszyn wirtualnych. 

ANY.RUN oferuje także dostęp do nieustannie uaktualnianych danych cyberwywiadowczych (w modułach Threat Intelligence Lookup oraz TI Feeds), które oferują gotowe do automatyzacji wskaźniki infekcji poprawiające jakość wykrywania, a także wzbogacają działania związane z reagowaniem oraz raportowaniem.

Wszystkie te możliwości dają analitykom szybkie, transparentne i wiarygodne mechanizmy pozwalające na dogłębne zrozumienie współczesnych cyberzagrożeń oraz usprawnienie funkcjonowania całego działu SOC.

Źródło: https://any.run/cybersecurity-blog/anyrun-macos-sandbox/