Автор: Содержание:
Хотя вы можете подозревать, что ваш компьютер Apple заражён вирусами, сложно подтвердить это достоверно. Одним из способов обнаружения вредоносных программ является анализ подозрительного поведения. Например, опасные программы могут фиксировать, какие клавиши на клавиатуре вы нажимаете, или стартовать при загрузке операционной системы. Благодаря бесплатным программным инструментам ReiKey и KnockKnock можно обнаружить подозрительные программы, такие как кейлоггеры и другие вирусы.
Есть много способов, при помощи которых кейлоггеры и прочие вредоносные программы могут попасть в систему MacOS. Они способны пробраться туда вместе с инфицированным файлом, при помощи устройства USB Rubber Ducky, их могут установить ваши родственники или друзья, которые слишком контролируют вас и хотят знать каждый ваш шаг. Если вы цените свою конфиденциальность, то захотите убедиться, что вас не прослушивают. Так как же понять, что в системе MacOS есть вредоносные приложения?
Вредоносные программы на MacOS
Патрик Уордл, бывший хакер АНБ, который создавал инструменты безопасности MacOS, изучал написанные для устройств Apple вредоносные программы. На его сайте https://objective-see.com/ размещаются примеры вредоносного кода для MacOS, которые могут изучать исследователи. Выбор вредоносных приложений здесь довольно разнообразный. Если поискать кейлоггеры, можно найти пять типов.
Возникает вопрос: как защититься от разных видов вредоносных приложений, если даже одних только кейлоггеров пять вариантов? Ответ Уордла заключается в анализе поведения вредоносных программ вместо поиска конкретных программ.
Например, кейлоггеры внедряются в поток событий на клавиатуре, позволяя злоумышленнику перехватывать нажатие каждой клавиши. Это даёт ему возможность узнать все пароли, переписку и т.д. Для эффективной работы эти программы должны активизироваться сразу, как только вы входите в учётную запись на компьютере. То есть они должны быть установлены в системе на постоянной основе, чтобы не нужно было запускать файл этого приложения более одного раза.
ReiKey & KnockKnock способны обнаруживать новые типы вредоносных приложений
Программа ReiKey позволяет искать один из наиболее важных параметров кейлоггеров. Если анализировать доступ к потоку команд клавиатуры, можно обнаружить кейлоггеры, причём не только те, которые способен распознать антивирус.
Более того, если кейлоггер установлен в системе, можно обнаружить его при помощи другого бесплатного инструмента под названием KnockKnock. Когда вы запускаете эту программу, она разделяет установленные в системе приложения на понятные категории. В том числе на такие, которыми часто пользуются вредоносные приложения: расширения браузеров, программы из автозапуска, расширения ядра и плагины.
После сканирования системы KnockKnock определит все установленные объекты и проверит их в базе данных VirusTotal.
Если в системе найдётся вредоносная программа, вы можете получить данные о ней, нажав на иконку «Информация» (Info). Если вы нашли подозрительные файлы, помеченные в VirusTotal, с большой долей вероятности ваша система содержит вирусы, рекламные приложения и прочие типы нежелательных программ.
Давайте протестируем эти программы и посмотрим, что можно найти на компьютере Mac.
Что потребуется
Для использования KnockKnock и ReiKey нужна последняя версия операционной системы MacOS. Ещё нужен доступ в интернет и браузер для скачивания установщиков этих программ.
Шаг 1: скачивание приложений с Objective-see.com
Для начала перейдите на страницу ReiKey на сайте Objective-see.com. Здесь вы увидите ссылку на скачивание под иконкой ReiKey в левом верхнем углу страницы.
Скачайте установщик и распакуйте. Дважды кликните на файл ReiKey Installer.app для начала процесса установки.
Шаг 2: установка ReiKey
Когда установщик запущен, нажмите на кнопку «Установить» (Install).
Когда установка завершена, нажмите «Далее» (Next), чтобы выйти из программы установки. Иконка ReiKey располагается на панели задач, позволяя получить доступ к настройкам приложения.
Нажмите на неё и на опцию «Настройки» (Preferences). Тут можно увидеть различные варианты конфигурации. Даётся возможность установить, запускать ли программу при входе в систему, отображать ли иконку в панели статуса, игнорировать или нет программы Apple при сканировании системы.
При наличии в системе кейлоггера Python появилось следующее уведомление:
Шаг 3: сканирование в поисках кейлоггеров
После установки и настройки ReiKey можно начать процесс сканирования.
Снова нажмите на иконку ReiKey в панели статуса, на этот раз на команду «Сканировать» (Scan). Появится окно с результатами сканирования, показывая, есть ли программы, которые просматривают клавиатуру.
В данном случае результат сканирования отрицательный. Если вы что-то увидите здесь, какая-то программа может следить за нажимаемыми кнопками.
Шаг 4: установка KnockKnock
Дальше установим приложение KnockKnock для поиска постоянно находящихся в системе вредоносных программ. Для этого перейдите на страницу KnockKnock. Ссылка на скачивание находится в верхнем левом углу.
Когда приложение скачано, сразу можно запускать его, без необходимости устанавливать в систему.
Шаг 5: сканирование системы MacOS
Запустите скачанный файл KnockKnock.app и появится указанное ниже окно. Нажмите на иконку со стрелкой, чтобы начать сканирование. Для выполнения сканирования нужно дать приложению доступ к различным папкам и программам, если вы работаете с последней версией системы MacOS Catalina.
После сканирования файлов будет показан список установленных в системе программ. Большинство из них не вредоносные, значительную часть программ вы установили сами. Если же вы видите что-то неизвестное, вроде расширения браузера, лучше удалить его.
Можно определить программы с подозрительными свойствами. Например, ниже показан установленный неподписанный скрипт.
Если вы хотите взглянуть на него более пристально, можно нажать на иконку «Информация» (Info).
Шаг 6: проверка подозрительных установленных объектов
Если вы хотите рассмотреть файл внимательнее, можно нажать на его оценку в VirusTotal. Здесь будет показан уровень обнаружения и ссылка на отчёт. Чтобы повторно отправить этот файл на проверку, нажмите «Повторное сканирование» (rescan).
После этого вы получите подробный отчёт. Здесь можно увидеть отчёт о ранее помеченной неподписанной программе Tor.
Она не кажется вредоносной, но если бы была, именно так её бы нашли и проверяли.
Кейлоггеры и установленные вредоносные приложения могут быть серьёзной проблемой
Среднестатистическому пользователю MacOS трудно распознать вредоносные приложения на своих компьютерах. Благодаря программам ReiKey и KnockKnock вирусы могут быть обнаружены сразу, как только попадут в систему. Если вы опасаетесь, что кто-то установил вам кейлоггер или другие приложения для слежки, которые заодно могут повышать расход системных ресурсов, эти инструменты позволят найти и избавиться от таких программ.
На сайте objective-see.com в разделе «Продукты» (Products) можно увидеть и другие бесплатные инструменты безопасности для MacOS.
