現代の企業は単一のOSで運用されることはもはやなく、セキュリティ運用センターは日々のプレッシャーの中で、あらゆるプラットフォーム全体の脅威を調査することが期待されています。
エンジニアリング、プロダクト、およびリーダーシップチームは特にmacOSの重いユーザーであり、彼らは高価値のターゲットになっています。これらの従業員は頻繁に重要な内部システム、コードリポジトリ、および機密ビジネスデータにアクセスする権限を持っています。
企業環境でのmacOSの採用が増加しているにもかかわらず、ほとんどのSOC調査ワークフローは追いついていません。macOS固有のサンプルが出現するとき、チームはしばしば別個のツールと環境に依存せざるを得なくなり、全体的な対応サイクルを遅くする断片化を生み出します。
下流効果は測定可能です:アラートのトリアージが遅く、調査タイムラインが長く、アラートのバックログが増加し、平均対応時間(MTTR)が上昇し、アナリストのバーンアウトが増加しています。
このギャップを埋めるために、ANY.RUNは現在、クロスプラットフォームサンドボックス範囲をmacOSに拡張し、Enterprise Suiteチームに4つの主要なオペレーティングシステム全体で疑わしいファイルとURLを単一のワークフローで分析する能力を提供しています。
互いに関連のないツール間を切り替える代わりに、アナリストは他のOS調査に既に使用している同じインターフェース内で、プロセスアクティビティ、ファイルシステムの変更、ネットワーク接続、およびAPI呼び出しを含む完全なmacOS実行動作を観察できます。
重要な差別化要因はプラットフォームのインタラクティブな分析機能です。一部のmacOSの脅威は、ユーザーがパスワードを入力するか、システムダイアログを承認するなどの特定のアクションを実行するまで休止状態を保つようにエンジニアリングされています。従来の自動サンドボックスはこれらの条件付き動作をトリガーすることに失敗することが多く、分析中に悪意のある活動が隠れたままになります。
ANY.RUNのインタラクティブな環境により、アナリストはサンドボックス実行中に実際のユーザーアクションを複製でき、認証情報ハーベスティングダイアログ、ステージング実行チェーン、およびパッシブ分析が見落とすソーシャルエンジニアリングルアーを表面化できます。
macOSサンドボックス分析の実用的な価値は、Miolab Stealerによって説明されています。これはmacOSをターゲットにしたインフォステーラーで、Intel x86-64とApple Silicon ARM64の両方のアーキテクチャをサポートする軽量な約100 KBのCベースのペイロードを持つマルウェアです。ANY.RUNサンドボックス内で分析されると、マルウェアの完全な攻撃チェーンが即座に可視化されます。
実行時に、Mioulabは偽のmacOS認証ダイアログを表示し、dscl -authonlyコマンドを使用して入力されたパスワードを検証します。マルウェアは成功した認証情報キャプチャなしに進行しません。
認証されると、system_profilerを使用してハードウェアとシステム情報を収集し、その後Desktop、Documents、およびDownloadsディレクトリをPDF、TXT、RTFなどの拡張子のファイルでスキャンするAppleScriptルーチンosascriptを起動します。収集されたファイルは順序を変えて名前が付け直され、総計約10 MBに制限されます。
macOSをANY.RUNのサンドボックスワークフローに統合することは、SOCパフォーマンスへの具体的な改善をもたらします:数分以内のより高速なアラート検証、より短い調査サイクル、4つの主要なOSプラットフォーム全体の広範な検出カバレッジ、シフトごとのアナリストのスループット向上、および積極的なフィッシングキャンペーンやマルウェアの流行時のアラートバックログの削減。
別個のmacOSテストインフラストラクチャの必要性を排除することにより、セキュリティチームはツールのナビゲーションに費やす時間が減り、実際の脅威への対応にはより多くの時間を費やします。これは、Appleデバイスが重要な運用構造の一部である組織でのビジネスリスクを直接削減する結果です。
翻訳元: https://cyberpress.org/any-run-macos-sandbox-cross-platform-threat-analysis/