崇光

苹果计划在今年秋季发布锁定模式，作为其用于iPhone、iPad 平板电脑和 Mac 电脑的新操作系统的一部分

勒索软件的“鼻祖”诞生于1989年，当时不法分子使用软盘和光盘（CD）传播木马程序，然后通过社会工程技术向用户勒索钱财。但是，木马程序无法加密数据，在那个互联网的蛮荒时代，攻击者还没有找到敲诈之外的其他货币化方法。

直到2004年，第一个真正意义上的，能够加密受害者数据的勒索软件PGPcoder才出现，PGPcoder更接近我们今天所熟知的勒索软件的概念。PGPcoder运营团伙主要针对个人用户，向受害者索要约13美元的赎金——与今天的勒索软件赎金标准相比，这是微不足道的数字，当今的赎金动辄数千万美元。

勒索软件历史的重要转折点发生在2015年，攻击者的目标从个人转移到了企业，因为他们意识到从商业角度来看，商业组织，尤其是大型企业，是更有价值的猎物。2018年诞生了最臭名昭著的勒索软件联盟计划之一——GandCrab，根据一些消息来源，该恶意软件的源代码构成了REvil木马的基础。

2020年后的勒索软件正在进入强者愈强的时代，根据GroupBI的《2020-2021高科技犯罪趋势报告》，过去三年业界观测到至少51个RaaS勒索软件联盟计划。其中一些像LockBit、Hive、SunCrypt或Avaddon发展迅猛，而另一些，例如realOnline Locker、Keystore Locker和Jingo Locker则每况愈下。

个人电脑变成“肉鸡”，并非新鲜事，早在2017年5月，就曾经爆发过勒索病毒WannaCry事件，当时Mac用户得以幸免。不过MacOS的安全性神话并没有延续很久，之后安全公司Fortinet和AlienVault分别发现了两种针对MacOS的恶意软件服务——MacRansom勒索程序和MacSpy恶意软件服务（MaaS）。

其中，MacRansom是迄今为止首个针对MacOS的勒索病毒，病毒代码通过黑市传播，目前虽然是免费的，但程序本身采用封闭服务，使用者需要先通过电子邮件与制作者取得联系，之后才能获得程序代码。

与此前Windows系统中发现的勒索病毒原理类似，MacRansom同样也是通过锁定Mac电脑上的文件来向用户索要赎金，每次的费用为0.25比特币，约合700美元。MacSpy属于远端存取木马，目前拥有免费版和付费版两种形态，免费版可以实现屏幕截图、键盘记录、声音记录以及iCloud同步等功能，而且不会留下任何痕迹。

付费版的功能更加强大，可以打开系统文档、加密系统目录以及用户的邮件及社交软件账户信息。值得一提的是，MacSpy开发团队表示，越来越多的人都因为觉得MacOS更安全而开始使用该系统，所以此次打造了这款恶意病毒来告诉大家，并没有任何一款操作系统是完美的。

鉴于MacSpy为现在首个苹果的勒索软件，所以它的开发者在传播该软件时还是比较小心的。如果“实验者”想要得到免费的版本，就必须先以电子邮件与开发者进行沟通，等确认后，他们才会向你发送该软件，文档服务器包含四个文件：1.Mach-O 64位可执行文件称为“更新”;2.Mach-O 64位可执行文件名为“webkitproxy”;3.Mach-O 64位动态链接共享库称为“libevent-2.0.5.dylib”;4.配置文件。

在检查了webkitproxy和libevent-2.0.5.dylib之后，它们由Tor端口进行传动，可以得出结论，它们的功能可能与洋葱路由器路由存在某些关联。而接下来，在进一步分析配置文件的内容时，可以看出“更新”的文件没有经过数字签名，而且目前各种杀软产品还没有发现该配置文件中的信息。

可恶的是，MacSpy已经具有了反侦查的能力，在进行攻击时，它做的第一件事是检查软件是否在非Mac环境下运行或者是否在调试环境下运行。为了防止调试，MacSpy使用了PT_DENY_

ATTACH选项来调用ptrace。这是一个常见的反调试器检查，MacSpy已将反调试器检查附加到恶意进程中。

在通过反分析检查和持久性攻击设置后，MacSpy便会开始执行攻击。MacSpy会将自身和相关文件从原始执行点复制到“？/ Library / .DS_Stores /”，并删除原始文件，这样做是为了不留下操作痕迹，使其尽量保持隐藏状态。

人们普遍认为，当他们使用系统封闭性较强的Mac时，没有恶意软件能攻击他们。因为目前仍有超过9成的个人电脑采用Windows作业系统，只有不到6.4%的个人电脑在运行Mac系统，但不论如何這样的观念都是错误的。

虽然这个Mac恶意软件可能不是第一个被开发出的软件，但却是第一个被发现的软件，也许早有类似的软件隐藏在个人Mac里。而且MacSpy的功能丰富，它表明，随着OS X的市场份额不断增长，越来越多的恶意软件的开发者将会投入更多的时间和精力来生产对应的攻击软件。

进入2022年，苹果公司决定加强其产品免受世界上最复杂的间谍软件的攻击，并计划发布工具Lockdown（被称为锁定模式）。使用时，出于安全目的，它将限制应用程序、网站和部分功能的功能。例如在 iPhone 上，它会阻止大多数消息附件，以及之前未与用户通话陌生人的FaceTime通话。

事情的起因要从去年11月说起，当时苹果起诉了一家名为NSO Group的以色列网络安全公司，指控该公司部署了恶意软件和间谍软件产品及服务，以针对记者、活动家、学者和政府官员使用的苹果产品。

“这其中包括一些主权政府的攻击，这些政府支付数亿美元来针对和攻击一小部分用户，这些用户的信息对他们来说非常有诱惑力。”苹果在向美国北方地方法院提起的诉讼中表示。

据发现该问题的学术研究机构Citizen Lab称，第二季度苹果已更新其软件，以修复NSO一直在利用该漏洞中的iMessage静默感染 iPhone。Citizen Lab 将此事描述为“零点击”攻击——一种罕见且危险的入侵。与典型的黑客攻击不同，它们不需要用户单击链接来感染设备。

NSO 方面则表示，它为世界各地的情报和执法机构提供打击恐怖分子和犯罪的工具，并终止了与滥用其软件的政府的合同（这样看起来，变相承认了苹果的指控）。该公司辩称，苹果的诉讼应该被驳回，部分原因是它作为外国政府的代理人不受此类诉讼的影响。

作为 iPhone、iPad 平板电脑和 Mac 电脑新操作系统的一部分，苹果认为：“锁定模式将减少攻击面并增加雇用间谍软件公司的成本，从而使专制政府更难破解高风险用户。”苹果还计划随着时间的推移加强该功能，并承诺奖励在锁定模式中发现弱点的研究人员，为符合条件的问题提供高达 200 万美元的奖金。

“虽然绝大多数用户永远不会成为针对性强的网络攻击的受害者，但我们将孜孜不倦地保护少数用户。”苹果安全工程和架构负责人伊万·克里斯提说。“这包括继续专门为这些用户设计防御措施，以及支持世界各地的研究人员和组织抵制数字攻击。”