XProtect — это система обнаружения вирусов Apple для Mac, которая обеспечивает безопасность вашего Mac. Вот как работает защитная функция macOS.
Вирусы и другие вредоносные программы представляют собой постоянную угрозу для компьютеров, и пользователям Интернета приходится обходить их каждый раз, когда они выходят в Интернет.
Компьютерный вирус — это небольшой фрагмент кода, который незаметно устанавливается на ваш компьютер. Тот, где он запускается или встраивается в другое программное обеспечение и вызывает хаос.
Вредоносное программное обеспечение создается злоумышленниками, которые намереваются нанести вред компьютерам, системам или другим электронным устройствам. Как только вирус попадает в дикую природу, он может быстро распространиться по миллионам компьютеров – часто незамеченным, пока не станет слишком поздно.
В ответ на вирусы и другие вредоносные программы многие поставщики программного обеспечения и операционных систем разработали антивирусное или антивирусное программное обеспечение. Они могут сканировать и «очищать» компьютер от вредоносного кода.
Один из способов, с помощью которого антивирусное программное обеспечение делает это, — сканировать известные сигнатуры, размеры и код приложений. Затем они сравниваются с загруженными базами данных известных вредоносных программ.
Если совпадение обнаружено, вредоносное программное обеспечение можно удалить с компьютера.
Два первых пакета антивирусного программного обеспечения, появившиеся на Mac несколько десятилетий назад, — это Norton Anti-virus и Virex. McAfee — еще одно антивирусное приложение, которое существует на Mac уже много лет и доступно до сих пор.
XProtect
Начиная с Mac OS X 10.6 Snow Leopard в 2009 году, Apple добавила собственную антивирусную защиту под названием XProtect.
XProtect работает в фоновом режиме, анализируя каждый раз, когда приложение запускается впервые, когда приложение изменяется в файловой системе или когда становится доступной новая загружаемая база данных сигнатур XProtect.
Это ответы безопасности, которые вы часто увидите в списке «Настройки системы» -> «Основные» -> «Обновления программного обеспечения».
Некоторые пользователи сообщают о высокой загрузке ЦП фоновой службой XProtect (XProtectService), как видно из утилиты Activity Monitor, но лично мы этого еще не видели.
Поскольку XProtect работает в фоновом режиме, он наблюдает за файловой системой и приложениями во время их запуска, проверяя ваш Mac на наличие вредоносных программ, перечисленных в базе данных сигнатур XProtect. Если совпадение обнаружено, XProtect предложит вам удалить вредоносное ПО с вашего компьютера.
Используя бесшумный фоновый монитор для обнаружения вредоносных программ, XProtect защищает ваш Mac от потенциально вредоносных приложений.
Поскольку XProtect является частью macOS, а его файлы сигнатур размещаются и устанавливаются Apple, вам не нужно ни о чем беспокоиться — ваш Mac позаботится обо всем за вас.
Файлы X (Защита)
Вы можете просмотреть, какие файлы подписей XProtect были загружены на ваш Mac, удерживая клавишу Option и выбрав «Информация о системе» в меню Apple в строке меню.
Это запустит приложение «Информация о системе» в /Utilities. Прокрутите страницу до «Программное обеспечение» -> «Установки» слева, чтобы увидеть XProtectPayloads и XProtectPlistConfigData, которые показывают версию и дату/время загрузки каждой базы данных сигнатур XProtect с Apple.
Запустите «Информация о системе», чтобы просмотреть последние загрузки XProtect.
Нотариальное заверение и гейткипер
Когда сторонние разработчики создают приложение для Mac, они могут отправить его в Apple для нотариального заверения. Приложения, отправленные в Apple таким образом, сканируются на наличие вредоносного ПО, и Apple подписывает известные версии приложения для включения в файл подписей XProtect.
Apple предоставляет разработчикам два инструмента командной строки для нотариального заверения: altool (устаревший) и новый Notarytool, который появился после Xcode 13. новый.
Вы можете получить помощь по использованию notarytool в приложении «Терминал» macOS, набрав:
man notarytool и нажмите «Вернуть».
Нажмите Control-Z на клавиатуре, чтобы выйти из страницы руководства.
Нотариальное заверение работает вместе с Apple Gatekeeper и Developer ID, чтобы гарантировать, что приложения Mac, распространяемые за пределами Mac App Store, являются подлинными и не содержат вредоносных программ, включая вирусы.
После того как Apple нотариально заверит стороннее приложение, разработчики могут выпустить его за пределами Mac App Store.
Нотариальное заверение и Gatekeeper, а также XProtect — вот что приводит к появлению диалогового окна «Проверка…» в Finder при первом запуске приложения, не выпущенного через Mac App Store.
Процесс сканирования приложения сканирует пакет (папку) приложения на наличие вредоносных компонентов и предотвращает его запуск, если таковые будут обнаружены. Он также сравнивает содержимое приложения с известными сигнатурами вредоносного ПО, содержащимися в базе данных сигнатур XProtect.
Это одна из причин, по которой процесс «Проверки» может занять так много времени для более крупных приложений при первом их запуске.
Если дважды щелкнуть нотариально заверенное приложение Mac в MacOS Finder, вы увидите сообщение «Это приложение загружено из Интернета. Вы уверены, что хотите его открыть?» диалог. Это дает вам возможность отказаться от запуска приложения, если вы этого захотите.
Если вы нажмете «ОК», Finder запустит приложение, и, если оно нотариально заверено, XProtect начнет сканировать его на наличие вредоносных компонентов.
Изображение предоставлено: Авагустафсон
Раньше можно было полностью отключить Gatekeeper, но Apple удалила эту возможность в 2016 году. Стороннее программное обеспечение Mac, не принадлежащее Gatekeeper, не будет работать в текущих версиях macOS, если оно не было нотариально заверено или не создано с идентификатором разработчика без предварительного предупреждения. .
Если при запуске приложения Mac вы получаете предупреждение «Переместить в корзину» или непроверенные предупреждения в Finder, вам нужно будет перейти в «Настройки системы» -> «Конфиденциальность и безопасность». Нажмите кнопку «Все равно открыть» и введите пароль администратора для вашего Mac.
Apple также теперь требует, чтобы сторонние разработчики добавляли атрибут расширенной файловой системы LSQuarantine (com.apple.quarantine) к своим загрузкам приложений перед их распространением в Интернете. Этот атрибут заставляет Gatekeeper сканировать приложение перед его запуском.
Однако разработчики по-прежнему могут выпускать программное обеспечение Mac в Интернете без добавления этого атрибута.
В совокупности эти функции безопасности означают, что злоумышленникам гораздо сложнее заразить ваш Mac вредоносным программным обеспечением.
По словам Apple, XProtect запускается не реже одного раза в день и при низкой активности пользователей на Mac.
Правила ЯРА
XProtect использует набор правил Yara International ASA для сравнения своей базы данных с приложениями на вашем Mac. YARA использует обнаружение на основе сигнатур для обнаружения вредоносных программ, встроенных в код.
Когда XProtect сканирует приложения на вашем Mac на наличие вредоносных программ, он использует правила YARA для проверки каждого приложения на наличие набора сравнений. Это может дать подсказки, указывающие на вредоносный код, встроенный в приложения или пакеты приложений.
У CISA есть несколько устаревший документ об использовании YARA для обнаружения вредоносного ПО. Вам действительно не нужно знать внутренние детали, чтобы YARA была полезной, поскольку Apple сама занимается ее использованием в macOS.
XProtect загружает и обновляет собственные файлы сигнатур.
Оповещения XProtect о вредоносном ПО
Если вы попытаетесь запустить приложение, содержащее известное вредоносное ПО, XProtect запустит XProtect Remediator и предупредит вас в Finder о том, что, по его мнению, приложение может содержать вредоносное ПО. Finder спросит вас, хотите ли вы переместить его в корзину.
Если вы нажмете «Переместить в корзину», Finder переместит приложение в корзину macOS, но не удалит его. Вы должны использовать пункт меню Finder->Очистить корзину, чтобы фактически удалить приложение с вашего Mac.
XProtect Remediator сообщает вам в Finder, какое вредоносное ПО XProtect обнаружил в конкретном приложении, когда вы пытались его запустить. Затем вы сможете решить, переместить его в корзину или нет.
У Говарда Окли из Eclectic Light Company есть интересная страница о том, что происходит при запуске XProtect Remediator.
У Окли также есть заметка от 2022 года об изменениях, которые Apple внесла в XProtect, и о том, какие вредоносные программы он сканирует, хотя список ни в коем случае не является исчерпывающим.
macOS также включает интерфейс командной строки (CLI) для XProtect, называемый xprotect. Вы можете запустить этот инструмент в Терминале с помощью команды, чтобы получить информацию о XProtect, работающем на вашем Mac.
Список команд xprotect в типе Терминала:
man xprotect и нажмите Return на клавиатуре.
Вкратце, команды такие:
обновление — принудительная загрузка новых файлов XProtect проверка — печать текущей версии обновления в Интернете версия — печать текущей установленной версии файлов XProtect журналы — отображение состояния журналов XProtect — печать текущего состояния справки XProtect — печать справки по подкоманде
Обратите внимание, что все команды xprotect должны запускаться с использованием команды sudo и пароля администратора в Терминале, чтобы они работали.
Например, запуск обновления sudo xprotect выводит:
Обновление не применено, уже актуально
когда нет новых частей XProtect для загрузки.
Как Apple реагирует
Как отмечает Apple, когда XProtect обнаруживает вредоносное ПО, Apple может отреагировать несколькими способами, включая, помимо прочего:
Все связанные сертификаты идентификатора разработчика аннулируются. Билеты на отзыв выдаются нотариально для всех файлов. Подписи XProtect разрабатываются и выпускаются.
В общем, вы также можете проверить политику безопасности системы вашего Mac в Терминале с помощью инструмента командной строки spctl:
spctl —status (контроль системной политики).
Если сканирование безопасности включено, вы увидите этот ответ:
spctl имеет огромный набор опций и инструментов, поэтому для получения дополнительной информации вам следует просмотреть справочную страницу в Терминале.
Можно ли отключить XProtect?
Ответ: в основном. Но не делайте этого.
Если ваш Mac постоянно не подключен к сети, вы редко устанавливаете программное обеспечение или не наблюдаете особых проблем с производительностью, нет реальной причины отключать XProtect. В результате ваш Mac подвергнется потоку известных и неизвестных вредоносных программ в Интернете — и если вы это сделаете, вы просто напрашиваетесь на неприятности.
Однако, если вам абсолютно необходимо отключить XProtect, вы можете сделать это в Терминале с помощью следующей команды:
sudo spctl —master-disable
Чтобы повторно включить XProtect, используйте:
sudo spctl —master-enable
Даже если вы отключите XProtect, вам следует сделать это на как можно более короткий период времени — всегда включайте его повторно, как только вы закончите любую задачу, требующую его отключения.
Сторонние сканеры
Хотя XProtect управляется Apple и является частью macOS, все равно могут возникнуть ситуации, когда вам захочется запустить на своем Mac сторонний сканер вредоносных программ для поиска вредоносного программного обеспечения.
Проверенный временем сканер, такой как Norton и McAfee, существует уже несколько десятилетий, поэтому он всегда является беспроигрышным вариантом. Есть также более мелкие и хорошие сторонние программы, такие как PrivacyScan (15 долларов США) от SecureMac.com.
Если вы используете сторонний сканер, попробуйте использовать тот, который продается в Mac App Store, поскольку Apple проверяет все приложения App Store, чтобы убедиться, что они также не содержат вредоносного ПО.
Apple хорошо поработала над XProtect, и по большей части он бесшумен и надежен. Возможно, вы захотите включить автоматические обновления безопасности в настройках системы, чтобы убедиться, что ваш Mac получает все новые файлы уязвимостей и обновления, как только они будут выпущены Apple.