Apple、macOSのウィルス定義データベース「XProtect v2102」をリリース。Windowsの実行ファイルを利用してGatekeeperをバイパスするマルウェアに対応。

TrojanSpy.MacOS.Winplyer XProtect
記事内に広告が含まれています。
スポンサーリンク
スポンサーリンク
スポンサーリンク

 AppleがmacOSのウィルス定義データベース「XProtectv2102」をリリースしています。詳細は以下から。

XProtectのアップデートを表すアイコン

 Appleは現地時間2019年04月18日、macOS/OS Xのウィルス定義データベースXProtectをv2102へアップデートし、今年02月に報告された、Windowsの実行ファイルを利用して、macOSのGatekeeperをバイパスするTrojanSpy.MacOS.Winplyerをブロックしています。

TrojanSpy.MacOS.Winplyer

private rule PE
{
    meta:
        description = "private rule to match PE binaries"

    condition:
        uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x4550
}

rule XProtect_MACOS_d1e06b8

 TrojanSpy.MacOS.Winplyerは通常macOSでは実行できない”.exe”ファイルをMono(.NET)フレームワークを利用して起動させペイロードを実行するため、AppleのGatekeeperのチェックをすり抜けてMacの情報を収集したりアドウェアをダウンロードすることが可能だとして、Trend Microなどが警告していました。

 Appleは今回のXProtectアップデートでTrojanSpy.MacOS.Winplyerに対処したほか、Gatekeeperデータベースをv165へアップデートしているので、興味のある方は以下の方法でチェックしてみてください。

Gatekeeper Configuration Data v165

おまけ

 XProtectやGatekeeper, MRTは順次ロールアウトされ自動的にアップデートが行われますが、強制アップデートやGatekeeper/MRTのバージョンの確認は以下のコマンドで行うことが可能です。

  • XProtectのバージョンの確認 (Yosemite以後)
  • defaults read /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta Version
  • XProtectのバージョンの確認 (El Capitan以降)
  • defaults read /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta Version
  • Gatekeeperのバージョンの確認
  • defaults read /private/var/db/gkopaque.bundle/Contents/Info.plist CFBundleShortVersionString
  • XProtectやGatekeeperなどのアップデートリストをチェックする
  • softwareupdate -l --include-config-data
  • XProtectやGatekeeperなど表示された全てのアップデートをインストールする
  • softwareupdate -ia --include-config-data
  • XProtectなどのアップデート
  • sudo softwareupdate --background-critical

コメント

タイトルとURLをコピーしました