Jika anda adalah pengguna komputer Apple Macintosh, tahukah anda bahawa sistem operasi macOS itu berupaya mengesan dan membuang perisian hasad (malware) dari sistem komputer anda itu tanpa sebarang perisian pihak ketiga?

macOS dilengkapi teknologi antivirus terbina dalam yang dipanggil XProtect untuk pengesanan berasaskan tandatangan dan penyingkiran perisian hasad.

XProtect telah diperkenalkan pada tahun 2009 sebagai sebahagian daripada ciri baharu yang dimuatkan ke dalam macOS X 10.6 Snow Leopard.

XProtect secara automatik mengesan dan menyekat pelaksanaan perisian hasad yang diketahuinya.

Pada mulanya, ia dikeluarkan untuk mengesan dan memberi amaran kepada pengguna jika perisian hasad ditemui dalam fail pemasangan.

Walau bagaimanapun, dari masa ke masa, ia telah menjadi satu set alat kerana Apple terus menangani masalah malware yang semakin meningkat pada platformnya.

Berikut adalah lapisan ciri keselamatan macOS bagi menangani perisian hasad:

• Lapisan pertahanan pertama direka untuk menghalang pengedaran perisian hasad, dan menghalangnya daripada dilancarkan walaupun sekali — ini adalah matlamat App Store, dan Gatekeeper yang digabungkan dengan Notarisation.


• Lapisan pertahanan kedua macOS adalah untuk membantu memastikan bahawa jika perisian hasad muncul pada mana-mana Mac, ia dikenal pasti dan disekat dengan cepat, kedua-duanya untuk menghentikan penyebaran dan untuk memulihkan sistem Mac yang telah bertapak padanya. XProtect adalah ciri tambahan pertahanan ini, bersama dengan Gatekeeper dan Notaris.


• Akhir sekali adalah XProtect yang bertindak menyekat, memulihkan jangkitan dan membuang perisian hasad yang telah berjaya dilaksanakan.

Baru-baru ini, penyelidik keselamatan telah mengaitkan beberapa peraturan YARA yang digunakan oleh suite XProtect terbina dalam macOS bagi mengesan sesuatu perisian hasad.

YARA ialah alat sumber terbuka popular yang dicipta oleh penyelidik perisian hasad, yang berfungsi dengan mengenal pasti perisian hasad berdasarkan persamaan kod yang ditemui dalam keluarga perisian hasad yang berbeza.

Apple kerap menambah kumpulan ini dengan kemas kini keselamatan yang dilepaskannya.

Setakat macOS 14 Sonoma, XProtect terdiri daripada tiga komponen utama:

1. XProtect mengesan perisian hasad menggunakan peraturan YARA setiap kali aplikasi pertama kali dilancarkan, menukar atau mengemas kini tandatangannya.


2. XProtectRemediator (XPR) boleh mengesan dan mengalih keluar perisian hasad dengan kerap melakukan imbasan YARA semasa tempoh aktiviti rendah, yang mempunyai kesan minimum pada CPU.


3. XProtectBehaviorService (XBS) telah ditambah dengan versi terkini macOS dan memantau tingkah laku sistem berhubung dengan sumber kritikal.

"Bahagian pemulihan XProtect (XProtectRemediator) mempunyai satu siri boleh laku...setiapnya menyasarkan keluarga perisian hasad tertentu," menurut Alden, seorang penyelidik perisian hasad.

Walaubagaimanapun, ia mungkin mencabar bagi mereka yang ingin tahu dengan tepat apa yang dicari oleh XPR ini.

Di mana letaknya XProtect?

XProtect didayakan secara lalai dalam setiap versi macOS. Ia juga berjalan pada peringkat sistem, sepenuhnya di latar belakang, jadi tiada campur tangan pengguna diperlukan.

Tetapi jika anda ingin tahu di manakah letaknya XProtect, ia tersembunyi di dalam sistem macOS yang boleh diakses melalui:

Macintosh HD > Library > Apple > System > Library > CoreServices



Kemudian, pada XProtect anda klik butang kanan tetikus dan pilih Show Package Contents.



Selepas itu, klik folder Contents > MacOS > XProtect.



Berdasarkan penemuan baharu dan sedia ada oleh Alden, The Eclectic Light Company berkongsi senarai 14 daripada 23 modul pengimbasan dalam versi semasa XPR dan cara ia berkait dengan nama perisian hasad awam mereka. Berikut adalah beberapa daripadanya:

1. Adload ialah adware (perisian hasad iklan) lama dan pemuat bundleware sejak 2016 yang mempunyai rekod prestasi perubahan pantas, membolehkannya mengelak pengesanan statik.

2. BadGacha masih kekal tidak dikenal pasti, tetapi kerap memberikan positif palsu untuk aplikasi pembantu dalam aplikasi bukan berniat jahat.

3. BlueTop ialah aplikasi WindowServer palsu yang merupakan sebahagian daripada kempen Trojan-Proxy yang disiasat oleh Kaspersky pada akhir 2023.

4. ColdSnap lebih dikenali sebagai SimpleTea, komponen merentas platform yang merupakan sebahagian daripada serangan rantaian bekalan 3CX.

5. Crapyrator telah dikenal pasti sebagai BkDr.Activator, ditemui dalam banyak aplikasi torrent cetak rompak seperti MarsEdit, DaisyDisk dan SpamSieve. Ia menggunakan kaedah yang canggih dengan memasang Activator.app secara ciri dalam folder utama Application, menggesa kata laluan dan menggunakannya untuk melumpuhkan semakan Gatekeeper, kemudian membunuh Notification Centre untuk menutup jejaknya.

6. DubRobber lebih dikenali sebagai XCSSET, penitis Trojan yang serba boleh dan merisaukan yang kerap berubah untuk mengelakkan pengesanan.

7. Eicar sama sekali bukan perisian hasad, tetapi adalah ujian standard kaedah pengesanan bukan berniat jahat.

Kesimpulan

Di sini, pengguna Mac dapat mengetahui bahawa sistem operasi macOS dilengkapi ciri keselamatan terbina yang kukuh, dipercayai dan diyakini.

Namun begitu, walaupun Apple sentiasa mengemas kininya, tapi, pengguna tidak seharusnya bergantung sepenuhnya pada suite XProtect Apple.

Ini kerana ia dibuat untuk mengesan ancaman yang diketahui. Serangan yang lebih maju atau canggih masih boleh memintas imbasannya.

Jadi, adalah masih disyorkan supaya anda kekal menggunakan perisian antivirus pihak ketiga untuk mengukuhkan lagi ciri keselamatan macOS sedia ada tersebut.

(Beli pelbagai produk Apple yang asli dari stor rasmi wakil-wakil penjual sah Apple di Shopee dan Lazada)

{suggest}

Sumber: Apple, 9TO5Mac, alden.io