Macに「Launch Deamon」やログインアイテムがインストールされると警告を表示してくれるマルウェア対策アプリ「BlockBlock」のベータ版を使ってみた。

スポンサーリンク

 Macに「Launch Deamon」やログインアイテムがインストールされると警告を表示してくれるマルウェア対策アプリ「BlockBlock」のベータ版を使ってみました。詳細は以下から。

BlockBlock-Beta-PDF


 BlockBlockは元NSAのセキュリティチームで現在は脆弱性チェックサービスSynackのR&D部門でディレクターを務めるPatrickさんが開発しているマルウェア対策アプリで、執拗に起動しようとするマルウェアと特定しブロックする機能があります。

Malware installs itself persistently, to ensure it’s automatically re-executed at reboot. BlockBlock continually monitors common persistence locations and displays an alert whenever a persistent component is added to the OS.

[BlockBlock (beta) – Objective-See]

BlockBlockのシステム

 OS XにはXProtectというAppleが指定しているマルウェアやウィルスをブロックし削除する機能が備わっていますが、

XProtect-Yosemite-Protect

 Patrickさんが開発しているBlockBlockの概念はシンプルで、BlockBlockをインストールするとデーモンが常駐し、新しいkextや”Launch Deamon”や”Agent”, ログインアイテムのインストールを監視し、それらがインストールされると警告を表示してくれます。

Unknow-Deamon-install

Though BlockBlock is conceptually simple, it is a rather complex piece of software.
BlockBlock is made up of two main components, a user-mode daemon running as root, and a user-mode agent running as the logged-in user (there can be multiple such agents if BlockBlock is installed for several users on the same system).
The daemon monitors various persistence locations to detect any new items. Specifically it (currently) watches for new kexts, launch daemon & agents, and new login items via the fsevents device (/dev/fsevents).

[BlockBlock (beta) – Objective-See]

使ってみた

まず、BlockBlockをPatrickさんが運営するObjective-Seeからダウンロードしてインストール。

BlockBlock-insatll

 BlockBlockはメニューバーにアイコンが常駐し、使用/非使用が簡単に切り替えられるのでアプリのインストール時だけ使用することも可能で、先ほどの説明通りシステム権限を必要とするアプリが新しいkextや”Launch Deamon”や”Agent”, ログインアイテムをインストールしようとするとプロセスIDや”Launch Deamon”ファイルの保存先やDemonが起動しようとするバイナリの詳細を表示してくれます。

BlocBlock-Block-launch-deamon

 BlockBlockは通常のアプリのや”Launch Deamon”やログインアイテムもブロックするので、その場合は”remember”チェック・ボックスをONにして”Allow”ボタンをクリックしてやれば次からはブロックされません。

Unknow-Deamon-install

 BlockBlockはマルウェアのインストールを未然に防ぐアプリで、Patrickさんはこの他にも既にインストールされてしまったマルウェアをVirusTotalのデータを参照に検出してくれるアプリ「KnockKnock」というアプリもリリースしているので興味がある方は関連リンクからどうぞ。

KnockKnock-File-Information

コメント

  1. Apple7743 より:

    元NSA?
    どうやって信用しろと?

  2. Apple7743 より:

    フリーソフトをインストールするとMac自体に不具合が出ることもあるので、
    こういった試験レポートを挙げてくれるのは嬉しい。

  3. Apple7743 より:

    元NSAのセキュリティチームかあ
    いいな☆*:.。. o(≧▽≦)o .。.:*☆