일반 사용자는 어떻게 Mac 펌웨어의 무결성을 쉽게 확인할 수 있습니까? 감염 앱이 나타나는

일반 사용자는 어떻게 Mac 펌웨어의 무결성을 쉽게 확인할 수 있습니까?

이 질문을 내리거나 내가 편집증에 대해 강의하기 전에 아무도 그렇게 할 필요가 없다면 아래를 읽으십시오.

2015 년 7 월 CVE-2015-3692 는 원격 공격자가 Mac의 EFI 펌웨어를 해킹 할 수 있다고 발표했습니다. (이에 사용할 수있는 벡터는 다른 CVE에 있지만 악의적 인 가짜 플래시 업데이트 설치 프로그램을 포함하여 가설이 될 수 있습니다.)

이 취약점은 Apple이 7 월 30 일 EFI 펌웨어 보안 업데이트 2015-001 로 OS X 10.8, 10.9 및 10.10을 위해 패치하기 최소 4 주 전에 공개되었습니다 .

이 취약점을 발표 한 동일한 보안 연구원은 또한 펌웨어 해킹 회의에서 제거하거나 덮어 쓸 수없는 데모를 보았다고 주장합니다.

따라서 Mac의 EFI를 소유 한 후 공격자가 올바르게 수행 한 경우 유효한 Apple 펌웨어로 EFI를 다시 플래시하는 유일한 방법은 리플 래서를 로직 보드 자체의 EFI 칩에 직접 연결하는 것입니다 ( 시도 하지 마십시오) 이 집에서).

이 취약점을보고 한 뉴스 기사는 대부분의 사용자가 걱정할 필요가 없으며 자신을 보호하기 위해해야 ​​할 일은 Mac을 잠자기 모드로 전환하지 않고 루트 사용자를 비활성화하거나 사용자를 인증하지 않는 것입니다 100 % 신뢰하지 마십시오. 모든 응용 프로그램의 공식 앱 스토어와 같은 신뢰할 수있는 출처에서 온다면, 당신은 당신이 애플에게 알려진 개발자가 코드 서명 아니에요 아무것도 실행되지 않습니다 : 그 기사에 대한 댓글 스레드는 다음과 같이 그것을 요약 한다 걱정할 필요가 없다.

그러나 2015 년 9 월에 우리 는 공식 iOS 앱 스토어에 수많은 맬웨어 감염 앱이 나타나는 것으로 알려진 XCodeGhost 익스플로잇 에 대해 알게 되었지만 OS X 앱은 어떻습니까? 링크 된 기사에서 Malwarebytes는 다음과 같이 썼습니다.

Wardle은 지난 3 월 Xcode가 이런 종류의 취약점에 취약했지만 두려운 점은 다른 많은 OS X 앱도 지적했다. 이러한 앱은 모두 유사한 공격에 취약 할 수 있습니다.

또한 “일반 사용자가 당황해서는 안된다”는 글을 썼다. 애플 지원 포럼이나 다른 곳에서 사용자가 수많은 이상한 문제에 대해 스레드를 게시 할 때 자주 볼 수있는 것과 같은 진언이다. “드라이브를 다시 포맷하고 시스템을 새로 설치하십시오. 문제는 타사 시스템 수정일 가능성이 높습니다.” 그래도 문제가 해결되지 않으면 HDD 장애, GPU 장애 또는 RAM 불량과 같은 하드웨어 문제 여야한다는 메시지가 나타납니다. 사람들이 Mac의 모든 구성 요소를 문자 그대로 대체하는 스레드를 보았습니다. 문제는 항상 다시 나타납니다.

이제 우리는 사용자의 EFI 펌웨어가 해킹 당했을 가능성이 있다는 것을 알고 있습니다. 따라서 메인 보드를 교체하더라도 앱을 다시 설치할 때 펌웨어가 맬웨어에 의해 다시 플래시 될 수 있습니다! 그리고 마더 보드를 교체하지 않으면 무슨 일이 있어도 호스가 연결됩니다.

그것은 다시 주요 질문으로 돌아갑니다.

일반 사용자는 어떻게 Mac 펌웨어의 무결성을 쉽게 확인할 수 있습니까? 즉, Mac 펌웨어가 맬웨어에 의해 손상되지 않았는지 어떻게 확인할 수 있습니까? SIP 비활성화가 필요하지 않은 El Capitan과 호환되는 방법을 찾을 수 없습니다. 이전 OS 버전에는 EFI 내용을 텍스트 파일로 덤프 할 수있는 DarwinDumper라는 복잡한 타사 도구가 있지만이를 비교하려면 유효한 Apple 펌웨어가 있어야합니다. 이는 일반 사용자가 사용하는 방법이 아닙니다 할 수 있습니다.

사람들에게 자신이 희생 될 수있는 것에 대해 걱정하지 말고 그들이 있는지 확인할 방법이 없다고 말하는 것은 이러한 종류의 익스플로잇이 해커에게 이익이 될 수있는 이유입니다. 사용자의 일부.

==

편집 : Apple의 지원 사이트 에서 최신 공식 Apple 펌웨어 설치 프로그램 찾았습니다 . 설치 프로그램이 10.10 또는 10.11에서 이상하게 실행되지 않습니다. Pacifist를 사용하여 Macbook Pro 9,1의 .scap 파일을 추출했습니다. 나는 HexFiend의 바이너리를 복구 모드로 재부팅하고 csrutil disable터미널에서 실행 한 후 DarwinDump를 사용하여 뽑은 biosdump와 비교하여 rootless를 비활성화하고 서명되지 않은 kext를 실행할 수 있습니다. 이 BIOS 헤더를 복구했습니다.

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

Apple 헤더의 공식 BIOS :

   $IBIOSI$   MBP91.88Z.00D3.B0B.1506081214Copyright (c) 2005-2015 Apple Inc.  All rights reserved.ˇˇˆ´5µ}ñÚC¥î°Îé!¢é_i@Ÿ¯¡Apple ROM Version
   BIOS ID:      MBP91
   Built by:     root@saumon
   Date:         Mon Jun  8 12:14:35 PDT 2015
   Revision:     svn 39254 (B&I)
   Buildcave ID: 6
   ROM Version:  00D3_B0B

그 외에는 파일이 매우 다르게 보이지만 .scap 파일에는 일종의 압축이 있다고 생각합니다. 적어도 그것은 최신 펌웨어가 설치되어 있음을 알려줍니다. 해킹이 발표 된 후 릴리스되었습니다. 나는 잘 지내요. 그러나 어떤 종류의 체크섬 확인을 통해 내가 괜찮다는 것을 확인할 수있어서 좋을 것입니다! 당신을보고 애플!



답변

이러한 Mactel, 부팅과 같은 인텔 UEFI 시스템의 펌웨어를 확인하려면 인텔 LUV (리눅스 UEFI 검증) 배포판, LUV-라이브가 실행 인텔 CHIPSEC합니다. 공개적으로 알려진 대부분의 펌웨어 취약점을 검사합니다. 상자를 처음 가져 왔을 때 CHIPSEC을 실행하고 ROM을 저장 한 다음 CHIPSEC을 다시 실행하고 ROM과 변경 사항을 비교해야합니다. UEFItool, CHIPSEC 또는 UEFI-Firmware-Parser 또는 기타 도구를 사용하여 ROM의 법 의학적 검사를 수행 할 수 있습니다.

주제와 관련된 도구에 대한 자세한 내용 은 최근에 발표 한 프레젠테이션 슬라이드 를 참조하십시오 .


답변

터미널 평균을 사용하는 사람을 고려하지 않기 때문에 “평균 사용자를 어떻게 할 수 있습니까?”라는 제목은 약간 위험 지역입니다. 단지 관객은 펌웨어를 검증해야한다는 것을 알기 위해 평균 이상입니다. . 평균 맥 사용자가해야 할 일에 대한이 짧은 요약으로 너무 소박하게 들리지 않기를 바랍니다.

macOS 설치 프로그램은 OS를 설치 / 다시 설치할 때 펌웨어를 업데이트하므로 간단히 macOS의 현재 버전을 복구하고 다시 부팅하기 만하면 프로그램, 설정, 데이터를 잃지 않고 펌웨어가 최신 상태인지 확인할 수 있습니다. 몇 달 전에 OS를 설치 한 경우에도 설치 준비 중에 설치 관리자가 확인할 때 최신 펌웨어가 설치되어 있으면 연습의 일부로 해당 업데이트를 받게됩니다.


설치를 실행할 수 없거나 기꺼이 할 수 있다면 실제로 최신 상태를보고 / 확인하는 것이 훨씬 까다로워집니다. 일반적인 업그레이드 / 업데이트 프로세스의 일부로 업데이트를받지 못했다고 생각하는 이유에 따라 다릅니다. 모든 펌웨어에 대한 일반적인 점검이 없기 때문에 일반 사용자는 펌웨어를 확인할 수 없으며 예외적 인 사용자도 필요한 분석 수준을 수행하는 데 어려움을 겪고 있습니다. 일반 사용자는 인증과 권한 부여 의 차이로 어려움을 겪습니다 . 전문가들은 체크섬과 암호화 체인의 신뢰와 인간성을 검증하는 것이 지루하다고 생각합니다. 우리는 잘 설계되고 동기가 부여되고 잘 지원되는 환경에서도 이러한 활동을 잘 수행하지 못한다는 점을 알고 있습니다.

펌웨어를 확인하고 공식 Apple Security Notifications 메일 링리스트에 참여하고자하는 각 인스턴스에 대해 Apple과 지원 티켓을 열고 변경 사항이있을 경우 신속하게 처리 할 수 ​​있습니다.

이것이 당신이 원하는 대답이 아니라면 미안하지만, 또한 이것이 귀하의 질문을보고 학습을 시작하는 방법을 궁금해하는 모든 사람들에게 답이 될 것입니다. 더 많은 사용자가 Apple에 지원을 요청하면 결국 기술 자료 기사가 작성됩니다. 일부 티핑 포인트에서는 자금이 추가되고 문제는 사용자 교육 수준에 맞게 설계됩니다. 우리는 내가 사물을 보는 초기에 있습니다.


답변

업데이트와 마찬가지로 macOS 10.13 High Sierra는 일주일에 한 번 Mac 펌웨어의 무결성을 자동으로 확인합니다. 펌웨어에 문제가있는 경우 Mac에서 Apple에 보고서를 보내도록 제안합니다. Eclectic Light Company의 게시물에 따르면이 보고서에 대해 다음과 같이 말합니다.

‘Hackintosh’가 아닌 실제 Mac을 사용하는 경우 Kovah는 보고서 전송에 동의하도록 요청합니다. 이를 통해 eficheck는 NVRAM에 저장된 데이터를 제외하여 개인 정보를 보호하면서 EFI 펌웨어에서 이진 데이터를 전송할 수 있습니다. 그런 다음 Apple은 데이터를 분석하여 데이터가 맬웨어 또는 다른 것에 의해 변경되었는지 확인할 수 있습니다.

AppleInsider 는 이것도 말합니다.

Apple에 전송 된 보고서는 NVRAM에 저장된 데이터를 제외합니다. 그런 다음 Apple은 전송 된 데이터를보고 맬웨어 공격이 있는지 평가합니다.

이 새로운 기능에 대해 자세히 알아 보려면 여기를 확인하십시오. macOS High Sierra가 매주 EFI 펌웨어에 대한 보안 검사를 자동으로 수행


답변

새로운 프로그램을 이용할 수 있으므로이 질문에 대한 업데이트 만 가능합니다.

이를 eficheck라고합니다. 그것은의의 는 / usr / libexec 디렉토리 / firmwarecheckers / eficheck 조금 더 복잡한 일부 다른 사람보다입니다하지만 남자 페이지가 문서의 사용이 거기에있다, 그래서 당신의 경로에 아마 일명 디렉토리가 아니다.

EFI에 들어가기에는 적당히 정교한 것이 감지를 어느 정도 회피 할 수 있다는 점을 고려해야합니다. 안티 바이러스 검사는 쓸모가없는 많은 이유입니다. “바이러스 백신 검사는 쓰레기입니다”라는 말을 되풀이하는 사람들은 그 이유에 대한 단서가없고 다른 사람보다 똑똑한 사람이 그 결론을 되풀이하고 있습니다. Mac 고유의 맬웨어를 올바르게 분석하여 파일의 고유 한 해시 값을 데이터베이스에 추가하지 않도록하여 컴퓨터가 자체 파일의 해시를 알려진 악성 코드 해시의 데이터베이스와 비교하여 계산할 수 있습니다. 거의 모든 바이러스 검사는 더 이상 아무것도하지 않으며 악의적 인 행동을 찾지 않습니다.

애플의 EFI는 인텔의 UEFI이지만 하루가 끝나면 애플은 실제로 복잡하고 기술적 인 것을 올바르게 할 것을 믿습니다. Apple은 자체 PKI를 파악할 수 없으며 인텔 프로세서의 개발자 매뉴얼을 본 적이 있습니까? 고대 그리스어의 수천 페이지입니다. 나는 애플이 꽤 생각하지 않았다 당신에 와서 의미 하고 , 스마트 당신을 했습니까?

보안 메일 링리스트는 업데이트가 릴리스 될 때 간단한 알림이며 더 이상 없습니다. 최신 OS 및 이전 버전의 사용중인 시스템에 영향을주는 CVE-ID 관련 문제를 오랫동안 식별하고 쉽게 악용 할 수있는 새로운 패치가 필요할 것입니다. 업데이트에서 향후 악용을 막을 수있는 것은 없습니다. 최소한 그러한 내용에 대해서는 언급하지 않는 정책으로 인해 언급 될 것입니다. 해결 된 유일한 보안 항목은 업데이트로 인해 매우 구체적인 문제가 해결되었다는 것입니다.

만약 그들이 “맬웨어 공격”을 발견했다면 (이후에 계속되지 않습니까?), 그들이 그것을 확인하고 사용자에게 다시보고해야 할뿐만 아니라 자신의 정책을 위반했을 것입니다. 고객은 여전히 ​​맬웨어를 믿지 않습니다. 사용자에게 연락하거나 문제를 해결하는 것에 대해서는 아무 것도 언급하지 않습니다. 요즘 헤드 라인을 볼 수 있습니다. 최근에 나쁜 언론은 모두 자아를 상하게했으며, 티핑 포인트에 다가가는 것 같습니다.


답변