FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

macOS 长期以来因其强大集成的安全防护体系而备受赞誉，但网络犯罪分子正试图将这些防御机制武器化。最新事件显示，攻击者正利用钥匙串（Keychain）、系统完整性保护（SIP）、透明化同意与控制（TCC）、Gatekeeper、文件隔离（File Quarantine）、XProtect 和 XProtect Remediator 等原生功能隐蔽投放恶意载荷。

**核心发现**  
1. 滥用 macOS 工具（钥匙串、SIP、文件隔离）实施凭证窃取和防御规避  
2. 通过禁用 Gatekeeper、TCC 点击劫持和卸载 XProtect 实现防御规避  
3. 结合 ESF 日志与 Sigma 规则及第三方 EDR 确保威胁检测

macOS 内置防护机制的滥用

卡巴斯基报告指出，攻击者已从粗暴利用转向精细滥用合法工具和功能。常见攻击向量涉及钥匙串：攻击者使用 /usr/bin/security list-keychains 和 security dump-keychain 等原生命令窃取凭证。

为检测此类未授权操作，企业需通过端点安全框架（ESF）记录进程创建事件，并对命令行匹配 security -list-keychains 或 -dump-keychain 的操作进行标记。相关 Sigma 规则会在攻击凭证访问（T1555.001）场景下触发警报。

系统完整性保护（SIP）是另一攻击目标。攻击者通常在进入恢复模式执行恶意操作前，先用 csrutil status 探测 SIP 状态。由于恢复模式操作会逃逸常规日志记录，防御者应实施持续 SIP 状态监控，并在状态变更时生成警报——该方法与攻击发现（T1518.001）类 Sigma 规则相契合。

文件隔离、Gatekeeper 与 TCC 的武器化

文件隔离功能会为下载的可执行文件添加 com.apple.quarantine 属性，但攻击者可通过 curl、wget 等底层工具或调用 xattr -d com.apple.quarantine 命令绕过该防护。监控带有 -d com.apple.quarantine 参数的 xattr 执行可检测隔离属性移除尝试（对应防御规避类 Sigma 规则 T1553.001）。

Gatekeeper 依赖代码签名和 spctl 工具。卡巴斯基指出，攻击者可能直接禁用该功能，或诱导用户右键点击应用绕过签名检查。监控带有 --master-disable 或 --global-disable 参数的 spctl 命令可发现此类防御规避行为（Sigma T1562.001）。

透明化同意与控制（TCC）通过基于 SQLite 的 TCC.db 数据库管理摄像头、麦克风和全磁盘访问权限。虽然修改 TCC.db 需禁用 SIP 或劫持系统进程，但攻击者会使用点击劫持覆盖层诱骗用户授予高权限。持续审计 TCC.db 变更和用户授权提示对早期预警至关重要。

XProtect 防护机制的突破

XProtect 和 XProtect Remediator 提供基于签名的恶意软件拦截和自动修复功能。高级攻击者会尝试通过注入未签名内核扩展（kext）或滥用 launchctl 卸载苹果守护进程来禁用这些服务。防御者必须监控 launchctl unload 和未签名 kext 加载行为。

尽管 macOS 的集成安全层非常强大，但攻击者持续进化以利用合法机制。实施基于 ESF 的详细日志记录、为关键命令模式部署 Sigma 规则，以及用第三方终端检测与响应（EDR）方案增强原生防御，可有效检测并阻止这些高级威胁。

参考来源：

Hackers Leverage Built-in MacOS Protection Features to Deploy Malware

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）