Anwendungen und Skripte für MacOS werden in aller Regel als sicher angesehen, denn die wenigsten Unternehmen verfügen über viele Mac-Rechner und setzen flächendeckend eher auf Windows-Systeme. Dennoch nutzen Cyberkriminelle auch immer wieder Mac-Systeme und Anwendungen, um ihre Malware einzuschleusen oder ihre Aktivitäten zu verstecken. Eine Möglichkeit dafür bietet „AppleScript“. Ein Statement von Matthias Canisius, Regional Director CE & EE bei Sentinelone.
Dabei handelt es sich um eine alte MacOS-Technologie, die schon 8 oder 9 Jahre älter ist als MacOS 10, sie wird auch als „PowerShell des MacOS“ bezeichnet. Überraschenderweise wird sie oft von Angreifern verwendet, obwohl sie kaum auf dem Radar von Sicherheitsverantwortlichen auftaucht.
Die Sicherheitsforscher von Sentinelone untersuchten nicht zuletzt aus diesem Grund eine Reihe von aktuellen Angriffen. Dazu zählt ein kürzlich entdeckter Browser-Hijacker für Safari, der sich in den Browser installiert einen versteckten Launch-Agent, der über ein Shell-Skript Applescript lädt, kompiliert und ausführt. Andere Angriffe verwenden das Skript, um jede andere Art von Skript auszuführen, einschließlich Python-Skripts. Oder sie nutzen es, um sich und ihre Aktivitäten einfach darin zu verstecken.
Viele Sicherheitsverantwortliche haben Applescript wenig Aufmerksamkeit zukommen lassen, weil die Entwicklung von Skripten schwierig ist. Der Grund dafür ist die (Apple)Script-Editor.app die nur wenige Funktionen hat, die Entwickler normalerweise erwarten und brauchen. Es gibt keinen Debugger, keine Variablen-Introspektion, keine Code-Schnipsel oder effektive Code-Vervollständigung, um nur einige fehlende Funktionen zu nennen.
Angreifer nutzen Applescript, weil es für die Automatisierung und die Kommunikation zwischen den Anwendungen entwickelt wurde. Normale Nutzer sollen die Möglichkeit bekommen, um sich wiederholende Aufgaben zu verketten und diese ohne weitere Nutzerinteraktion auszuführen. Sie können beispielsweise Mail.app automatisch ein Skript auslösen lassen, wenn es eine E-Mail von einem bestimmten Absender oder mit einem bestimmten Schlüsselwort in der Betreffzeile oder im Inhalt erhält, beliebige Details aus der E-Mail extrahieren und dann eine Datenbank in Excel oder Numbers mit den gewünschten Informationen füllen, die on-the-fly formatiert und sortiert werden, sobald die Daten eingehen. Und wie sich herausstellt, ist die Automatisierung der Kommunikation zwischen den Anwendungen und die Umgehung der Benutzerinteraktion ein gefundenes Fressen für die Malware-Entwickler.
Angreifer haben trotz der schwierigen und aufwendigen Handhabung Applescript immer wieder genutzt und sie werden es auch zukünftig nutzen. Dank der systemeigenen Anbindung an Objective-C und die leistungsfähigen Cocoa-Frameworks, der Vielfalt der Ausführungsmethoden und der Verfügbarkeit einer hervorragenden, frei nutzbaren IDE ist Applescript zu einem leistungsfähigen, vielseitigen und einfach zu entwickelnden Werkzeug geworden. Cyberkriminelle werden immer versuchen, die Dinge auszunutzen, die die Verteidiger ignorieren. Das Skript wurde bisher von der Security-Community ignoriert und es ist an der Zeit, es sich genauer anzuschauen.
#SentinelOne