Den Auftakt macht eine Timeline der Angriffe auf Mac OS X.
Von 2004 bis heute sind dort die wichtigsten Schädlinge aufgeführt – von Würmern und Spyware über Trojaner und Exploits bis hin zu Viren oder Scareware.
Ergänzt werden die Einträge mit Links zu Beiträgen über die jeweiligen Sicherheitsrisiken. So stellt die Liste eine umfangreiche Chronologie der bisherigen Sicherheitsprobleme von Mac OS X dar.
Timeline der Mac OS X Angriffe
2004
- April: Proof-of-Concept für Trojaner unter Mac OS X („Mac/Amphimix-A“), keine Verbreitung „in the wild“
Sophos: „Mac OS X MP3 Trojan horse threat overhyped, says Sophos“ - Oktober: Erster Wurm für Mac OS X („SH/Renepo-A“), keine Verbreitung „in the wild“
Sophos: „Renepo worm targets Mac OS X users, Sophos reports“
2006
- Februar: Instant-Messaging-Wurm für Mac OS X („OSX/Leap-A“), sehr geringe Verbreitung
- Februar: Wurm verbreitet sich über Bluetooth („OSX/Inqtana-A“), sehr geringe Verbreitung, keine Schadfunktion
- November: Erster Virus für Mac OS X (Macarena), fehlerhafter Proof-of-Concept ohne Verbreitung „in the wild“
Sophos: „Macarena Mac OS X malware – no need to panic“
2007
- Januar: „Month of Apple Bugs“ – Veröffentlichung von 31 Schwachstellen in Mac OS X und Anwendungen, darunter einige kritische
the Month of Apple Bugs
Apple Fun – Announcements and discussion about the Month of Apple Bugs - März: Pwn2Own-Wettbewerb auf der CanSecWest – Dino Dai Zovi kompromittiert Benutzer-Account über Drive-by-Infektion
Robert Lemos, SecurityFocus: „A Mac gets whacked, a second survives“
Ryan Naraine: „10 questions for MacBook hacker Dino Dai Zovi“ - Mai: Erster Plattformübergreifender Makro-Wurm für OpenOffice infiziert Windows, Linux und Mac OS X („SB/BadBunny-A“), keine Verbreitung „in the wild“, da von den Entwicklern direkt an Sophos geschickt
„BadBunny seen in „the wild“? OpenOffice multi-platform macro worm discovered“ - Juni: Charlie Miller (Black Hat USA) – „Hacking Leopard: Tools and Techniques for Attacking the Newest Mac OS X“
Präsentation (PDF)
Whitepaper (PDF) - November: Erster „DNS-Changer“-Trojaner für Mac OS X (RSPlug), wird als angeblicher Video-Codec verbreitet, findet einige Opfer
Graham Cluley, Sophos: „Mac OS X RSPlug Trojan horse: in pictures“
2008
- Februar: Erste Scareware in Form von Fake-Virenscannern (MacSweeper, Imunizator), eigentlich nur Flash-Anwendungen im Browser
Sophos: „Poisoned TV website adverts lead to PC and Mac scareware“
SophosLabs: „Poisoned Adverts hit TV sites“ - März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller, Jake Honoroff und Mark Daniel kompromittieren Benutzeraccount über Drive-by-Infektion
Zero Day Initivative, Tipping Point DVLabs: „PWN to OWN Day Two: First Winner Emerges! (updated)“ - August: Als angeblicher Vide-Codec verbreiteter Trojaner installiert Hintertür („Troj/RKOSX-A“)
Graham Cluely, Sophos: „A new Trojan horse for Mac OS X?“
Graham Cluely, Sophos: „Mac malware – mea culpa“ - November: Erster Trojaner wird als angeblicher Key-Generator über Raubkopien verbreitet („OSX/Jahlav-A“), keine nennenswerte Verbreitung
Graham Cluely, Sophos: „More Mac OS X malware discovered“
2009
- Januar: Erster Trojaner gibt sich als Raubkopie von iWork ’09 („OSX/iWorkS-A“)
Graham Cluely, Sophos: „Reports of new Mac Trojan horse in pirated version of iWork ’09“ - Januar: Ein Trojaner gibt sich als Crack-Programm für eine Raubkopie von Photoshop aus
Graham Cluely, Sophos: „Reports of Mac Trojan in pirated Adobe Photoshop CS4“ - Februar: Vincenzo Iozzo (Black Hat DC) – „Let Your Mach-O Fly“ (Medien)
- März: Dino Dai Zovi, Charlie Miller (CanSecWest) – „Hacking Macs for Fun and Profit“ (PDF)
- März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller kompromittiert Benutzer-Account über Drive-by-Infektion; Nils kompromittiert Benutzer-Account über Drive-by-Infektion
Terri Forslof, Tipping Point DVLabs: „Pwn2Own 2009 Day 1 – Safari, Internet Explorer, and Firefox Taken Down by Four Zero-Day Exploits“
Robert Lemos, SecurityFocus: „Browsers bashed first in hacking contest“ - März: Neue Version des Trojaners RSPlug tarnt sich als angebliches HDTV/DTV-Programm mit den Namen „MacCinema“
Graham Cluely, Sophos: „Apple Mac malware: caught on camera“ - April: Charlie Miller, Vincenzo Iozzo (Black Hat Europe) – „Fun and Games with Mac OS X and iPhone Payloads“
Medien
Präsentation (der angegebene Link ist falsch): PDF - Mai: Erster Mail-Warum für Mac OS X (Tored) ist schlampig programmiert und erreicht keine große Verbreitung
Graham Cluely, Sophos: „Tored – a lame email worm for Mac OS X“ - Juli: Dino Dai Zovi (Black Hat USA) – „Advanced Mac OS X Rootkits“ (Medien)
- August: Erste Mac-OS-X-Version mit rudimentärer Schadsoftware-Erkennung: Mac OS X Snow Leopard erkennt zwei Trojaner-Familien, wenn sie von Safari oder Mail geladen werden
Graham Cluely, Sophos: „Snow Leopard malware protection in action“
Chester Wisniewski, Sophos: „Is Snow Leopard’s bundled anti-malware enough?“ - November: Das Spiel „Lose/Lose“ löscht (als dokumentiertes Verhalten!) während des Spiel zufällig ausgewählte Dateien
Graham Cluely, Sophos: „Mac shoot-em-up zaps your files – but is it game over for common sense?“
2010
- März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller kompromittiert Benutzer-Account über Drive-by-Infektion; Nils kompromittiert Benutzer-Account über Drive-by-Infektion
Aaron Portnoy, Tipping Point DVLabs: „Pwn2Own 2010“
Ryan Naraine: „Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook“ - April: Der Trojaner Pinhead („OSX/Pinhead-B“) bzw. HellRTS gibt sich als iPhoto aus und installiert eine Hintertür.
Graham Cluely, Sophos: „New Mac backdoor Trojan horse discovered“ - Juni: Apple passt den „Virenscanner“ in Mac OS X Snow Leopard an Pinhead bzw. HellRTS an.
Graham Cluely, Sophos: „Apple secretly updates Mac malware protection“ - Juni: Spyware für Mac OS X erscheint auf dem Markt (OpinionSpy)
Paul Ducklin, Sophos: „Mac OS X OpinionSpy – same old, same old“ - November: Java-basierter Trojaner verbreitet sich über Facebook, kann Windows, Linux und Mac OS X infizieren (Boonana)
Carsten Eilers: „Boonana – Ein Trojaner, sie alle zu knechten!“
2011
- Januar: Dino Dai Zovi, Vincenzo Iozzo (Black Hat DC) – „WORKSHOP: The Mac Exploit Kitchen“
- Februar: Gleich zwei Remote Access Toolkits (RAT) werden für Mac OS X entwickelt
Chester Wisniewski, Sophos: „Mac OS X backdoor Trojan, now in beta?“
Chester Wisniewski, Sophos: „DarkComet RAT author denies BlackHole Mac Trojan is his“ - März: Pwn2Own-Wettbewerb auf der CanSecWest – VUPEN-Team kompromittiert Benutzer-Account über Drive-by-Infektion
Peter Bright, Ars Technica: „pwn2own day one: Safari, IE8 fall, Chrome unchallenged“ - März: Vincenzo Iozzo (Black Hat Europe) – „WORKSHOP: The Mac Exploit Kitchen“
- März: Patroklos Argyroudis, Dimitrios Glynos (Black Hat Europe) – „Protecting the Core: Kernel Exploitation Mitigations“
Whitepaper (der angegebene Link ist falsch): PDF
Präsentation (der angegebene Link ist falsch): PDF - Mai: Neue Fake-Virenscanner tauchen auf, darunter ein JavaScript-basierter. Apple verweigert anfangs jede Hilfestellung
Chester Wisniewski, Sophos: „Mac users hit with fake anti-virus when using Google image search“
Graham Cluely, Sophos: „Mac fake anti-virus attack adopts new disguise“
Chester Wisniewski, Sophos: „Mother’s Day search terms lead to Mac rogue security software“
Carsten Eilers: „Kritische Schwachstellen, Schadsoftware – und Apple steckt den Kopf in den Sand“ - Mai: Der erste Fake-Virenscanner, der ohne Administrator-Passwort installiert werden kann, taucht auf
Chester Wisniewski, Sophos: „Apple malware evolved – No password required“ - Mai: Apple passt den „Virenscanner“ in Mac OS X Snow Leopard an die Scareware an, außerdem wird jetzt täglich nach Updates der Virendefinitionen gesucht
Chester Wisniewski, Sophos: „Apple releases update to protect against MacDefender“ - August: Alex Stamos, Aaron Grattafiori, Tom Daniels, Paul Youn, B.J. Orvis (Black Hat USA) – „Macs in the Age of the APT“
- August: Charlie Miller (Black Hat USA) – „Battery Firmware Hacking“
- November: Core Security – „Apple OS X Sandbox Predefined Profiles Bypass“
- September: Mal wieder ein Trojaner, diesmal aus PDF-Datei getarnt (OSX/Revir-B)
Graham Cluely, Sophos: „Mac OS X Trojan hides behind malicious PDF disguise“ - September: Das Flashback-Trojaner wird erstmals entdeckt, er gibt sich als Flash-Update aus und installiert eine Hintertür
Graham Cluely, Sophos: „Flashback Mac Trojan poses as Adobe Flash update, opens backdoor“ - Oktober: Der Trojaner Tsunami installiert eine Hintertür. Das Besondere daran: Er ist eine Portierung eines Linux-Trojaners, wird aber zumindest damals nicht „in the wild“ gefunden
Graham Cluely, Sophos: „Tsunami backdoor for Mac OS X discovered“
Graham Cluely, Sophos: „Mac malware: Tsunami backdoor variants discovered“ - Oktober: Der Trojaner Miner wird mit Kopien des GraphicConverter über Torrent-Sites verbreitet. Seine Schadfunktion: U.a. nutzte er die GPU zum Berechnen von Bitcoins.
Graham Cluely, Sophos: „DevilRobber Mac OS X Trojan horse spies on you, uses GPU for Bitcoin mining“
2012
- März: Pwn2Own-Wettbewerb auf der CanSecWest – Kein Angriffsversuch für Mac OS X, aber Präsentation von Exploits für zwei bereits behobene Schwachstellen
- März: Ein Trojaner tarnt sich als Foto des halbnackten Models Irina Shayk
Graham Cluely, Sophos: „Topless supermodel photos used to spread Mac malware“ - März: Ein Trojaner nutzt eine seit 2009 gepatchte Schwachstelle in Word zu Verbreitung
Graham Cluely, Sophos: „Mac backdoor Trojan embedded inside boobytrapped Word documents“
Jeong Wook (Matt) Oh, Microsoft Malware Protection Center Threat Research & Response Blog: „An interesting case of Mac OSX malware“ - März/April: Zwei von Oracle im Februar gepatchte Schwachstellen werden vom Trojaner Flashback ausgenutzt. Apple veröffentlicht das entsprechende Update erst jetzt – machdem die Angriffe bereits laufen
Graham Cluely, Sophos: „Mac malware exploits unpatched drive-by Java vulnerability“
Chester Wisniewski, Sophos: „Apple patches Java hole that was being used to compromise Mac users“
Carsten Eilers: „Macs im Visier“ - April: Das von Flashback aufgebaute Botnet umfasst mehr als 600.000 Rechner und damit ca. 1% aller Macs
Carsten Eilers: „Das Flashback-Botnet und Apples Langsamkeit“ - April: Flashback kommt nun auch ohne Passworteingabe aus und verbreitet sich als echte Drive-by-Infektion – der Besuch einer präparierte Webseite reicht für die Infektion des Rechners aus
Carsten Eilers: „Macs und Schadsoftware, in allen möglichen Varianten“ - April: Weitere Schädlinge nutzen die Java-Schwachstellen aus
Carsten Eilers: „Neues zu Flashback & Co. und WordPress“ - Graham Cluely, Sophos: „Python-based malware attack targets Macs. Windows PCs also under fire“
- Juni: Apple ändert seine Marketing-Aussagen, Mac OS X wird nicht mehr als sicher vor Viren etc. angepriesen
Graham Cluely, Sophos: „Macs and malware – See how Apple has changed its marketing message“ - Juli: Loukas K (Black Hat USA) – „DE MYSTERIIS DOM JOBSIVS: Mac EFI Rootkits“
- Juli: Ein in Java geschriebener Schädling greift Windows, Linux und Mac OS X an
Graham Cluely, Sophos: „Multi-platform backdoor malware targets Windows, Mac and Linux users“ - Juli: Der in Java geschriebene Schädling Crisis bzw. Morcut greift Windows und Mac OS X an und spioniert die Benutzer u.a über Webcam und Mikrofon aus
Paul Ducklin, Sophos: „Mac malware Crisis on Mountain Lion eve?“
Graham Cluely, Sophos: „Mac malware spies on infected users through video and audio capture“
Sergey Golovanov, Kaspersky: „New malware for Mac: Backdoor.OSX.Morcut“
Lysa Myers, Intego: „More on OSX/Crisis — Advanced Spy Tool“
Lysa Myers, Intego: „OSX/Crisis Has Been Used as Part of a Targeted Attack“
Takashi Katsuki, Symantec: „Crisis for Windows Sneaks onto Virtual Machines“
Takashi Katsuki, Symantec: „Crisis: The Advanced Malware“ (PDF) - August: Jonathan Grynspan – „FileVault 2’s Apple ID Backdoor“
- August: Omar Choudary, Felix Gröbert und Joachim Metz – „Analysis of FileVault 2 (Apple’s full disk encryption)“
- August: NetWire – Ein Fernwartungstool aus der Grauzone
Lysa Myers, Intego: „An Analysis of the Cross-Platform Backdoor NetWeirdRC“
Paul Ducklin, Sophos: „Apple zombie malware ‚NetWeird‘ rummages for browser and email passwords“ - August: 0-Day-Schwachstelle in Java wird zur Verbreitung von Windows- und Mac-Schädlingen genutzt
Manuel Gatbunton, TrendMicro: „Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor“
Lysa Myers, Intego: „OSX/Tsunami Variant Found Dropped by Java 0-Day“ - Oktober: Die Java-basierte Hintertür „Jacksbot“ (auch als Java RAT bzw. jRAT bekannt) läuft unter Windows und zumindest teilweise auch unter Mac OS X und Linux
Lysa Myers, Intego: „New Multiplatform Backdoor Jacksbot Discovered“ - Oktober: Das BSI veröffentlicht Sicherheitshinweise für Mac OS X
Bundesamt für Sicherheit in der Informationstechnik (BSI): „BSI veröffentlicht Empfehlungen zur sicheren PC-Nutzung“
Bundesamt für Sicherheit in der Informationstechnik (BSI): „Sichere Nutzung von Macs unter Apple OS X Mountain Lion – für kleine Unternehmen und Selbstständige v1.0“ - November: Bogdan Calin – „The Email that Hacks You“
- November/Dezember: Tibetanische Websites werden kompromittiert und liefern Spyware für Mac OS X und Windows aus
F-Secure: „New Mac Malware Found on Dalai Lama Related Website“
Graham Cluely, Sophos: „Dockster Mac malware found on Dalai Lama-related website“ - Dezember: SMSMonster bzw. SMSSend.3666 tarnt sich als Installationsprogramm und abonniert teuere SMS-Dienste
Lysa Myers, Intego: „New Mac Trojan Masquerades as Installer for VKMusic App“
Dr. Web: „First fake-installer Trojan for Mac OS“
Roddell Santos, TrendMicro: „Fake Installer for Mac OS Charges Users via Their Mobile Account“
Mac Rumours: „Apple Quickly Updates Malware Definitions to Detect New SMS Scam Trojan“
Morgen geht es weiter mit dem ersten Teil der Detail-Analyse. Einen Überblick aller Serienartikel findet Ihr auf der Seite Mac Security Week.
Entwickler Magazin
Der Artikel „Mac Security – Ein Satz mit X?“ von Carsten Eilers erscheint im Entwickler-Magazin 2.2013. Mehr Infos zum Heft findet Ihr auf der Homepage des Entwickler Magazins.
