苹果恶意软件将走向何方？

　　我最后一次看到苹果后卫公开发作的时间是6月23日。在抵御了苹果技术支持团队整个5月的持续打击后，6月中旬这一令人讨厌的苹果恶意软件基本上停止活动了。

　　尽管看起来苹果后卫团伙暂时是平息下来了，但我依然相信它们总有一天会卷土重来的。从我观察到的证据来看，苹果恶意软件发起的下一轮攻击可能会更猛烈。

　　在苹果后卫5月初首次公开发作后不久，我就开始对它以及变种的发展变化情况进行不间断的监测，并一直坚持到6月底才完全停了下来。在公开发作的第一个月里，该恶意软件团伙在OS　X上几乎没有遇到任何障碍，这让他们造成了极大的影响。苹果内部泄露的文件证实了，早在5月16日公司就开始进行内部调查，但直到5月24日才对外公开承认这一问题的存在。5月31日，苹果发布了有史以来第一个专门针对恶意软件的安全更新补丁。

　　对于苹果公司和苹果后卫攻击者来说，这是一场漫长的猫抓老鼠游戏。苹果每天都对数字签名进行更新，而攻击者则会在几小时内对代码进行调整达到逃避检测的目的。

　　对于不了解苹果后卫及变种具体情况的读者来说，可以阅读《恶意软件攻击剖析：苹果后卫从爆发到平息的完整时间表》一文。

　　6月23日，所有服务器都显示这类威胁已经完全消失。今天，在利用谷歌进行搜索后，我找到了几十起中毒案例。我发现尽管导致用户被攻击的网站依然在运行，但这些被劫持网站上重定向到普通苹果机用户上让他们的生活苦不堪言处于生不如死状态的脚本已经处于穷途末路的状态。

　　攻击突然销声匿迹让《华尔街日报》的尼克·克莱顿认为：“苹果用户依然可以自鸣得意。”在查看过苹果恶意软件检测脚本后，非官方苹果网络日志(TUAW)的理查德·盖伍德作出了更加谨慎的结论：“不过，就目前情况而言，我认为担心苹果后卫攻击的用户可以暂时放松下来。面临的威胁不再处于迫在眉睫状态。”【我已经在上面标注出所强调部分】

　　所以，我们不得不深思，当时究竟发生了什么事情，还将会有何种变化出现?

　　从观察到的实际情况来看，我并不认为苹果公司的反击行动是导致苹果后卫团伙撤退的主要原因。他们的目标包括了PC和苹果机两部分。如果PC用户访问到中毒的搜索结果，就会被重定向到提供了假冒Windows防病毒软件的站点上;如果用户使用的是苹果机，脚本就会发送试图安装苹果后卫或者变种的网站过来。所有攻击都是在6月23日同时停止的，在苹果后卫服务器下线的同时，针对Windows版本的攻击也马上消失了。

　　按照个人对观察结果的分析，我认为实际情况应该是该恶意软件已经完成了预定工作。苹果反击行动带来的影响不大。更重要的原因应该是，谷歌针对中毒搜索结果的检测和阻止力度进一步加强，从而降低了苹果后卫安装的成功率。在6月19日针对苹果反击行动的分析中，我就指出了攻击高潮已经过去，并预计将很快结束：

　　我依然相信苹果后卫攻击属于坏蛋们的一次巨大成功。由于采用了非常出色的社会化工程模式，我敢肯定它已经获得了足够数量的非法资金来进行下一阶段的开发工作。

　　大家要明白，这是有史以来苹果平台上第一个恶意软件工具包。它的下一个版本将在对安全性更新2011-003有着充分认识的情况下进行开发。坏蛋们可以让苹果花费数星期时间来进行应对。这就意味着苹果后卫的新版本将非常危险。

　　并且，现在确实已经有了一些粗略的证据可以表明苹果恶意软件发起的下一波攻击会是什么样子。

　　6月16日，有人往VirusTotal网站上传了一个压缩文件请求进行分析。它被42种防病毒引擎中的4种确定为通用Windows密码盗窃和键盘记录类木马。直到几星期后，更有趣的细节才被发现;在微软恶意软件防护中心(MMPC)的安全研究人员对文件内容进行了仔细研究后，才确定它是由两个工具包组成的——一个用于支持Windows系统，另一个用于支持OS　X系统：

　　文件夹中的内容除了2011年6月15日发生事件的照片外，还包括了两个包含恶意代码的二进制可执行文件：

　　l 视频时事2009年7月5日.exe(205480字节)PE EXE格式

　　l 当前事件2009年7月5日(50956字节)Mach-O I386格式

　　在7月27日发布的文章中，著名安全专家米拉·帕库尔对压缩包中的内容进行了确认。她认为该工具是用于“针对性攻击”领域，可以对PC或者苹果用户造成有效的伤害。

　　有趣的是，这两个文件都属于同一后门恶意软件的变种：Windows版本被称为Wolyx，苹果版本被称为Olyx。下面就是Olyx工作原理的简介：

　　采用Mach-O格式的二进制文件针对的是苹果OS　X系统。安装完成后，软件就可以获得在不需要超级用户或者管理员权限情况下的后台运行模式。它采用的做法是在在/Library/Application Support directory创建一个名为“谷歌”的文件夹，并将后门安装程序命名为“startp”, 来实现将自身伪装成一个谷歌应用支持文件的目标。此外，它还会在临时文件夹中保存一份命名为“google.tmp”的副本，并且将在/Library/LaunchAgents中创建名为“www.google.com.tstart.plist”文件，确保后门只在用户登录的时间启动一次——这一模式可以适用于系统中的所有用户。

　　【......】

　　一旦连接得以建立，远程攻击者就可以使用后门文件提供的管理功能来进行上传、下载操作，并浏览用户的文件和目录。

　　在公众视线之外，类似这样的工具包已经开始少量传播的情况属于完全有可能发生的。尽管来自第三方的苹果机防病毒工具已经包含防范这类恶意软件的功能，但在OS　X最新的XProtect.plist补丁中依然没有包含处理类似情况的工具。

　　并且，即便苹果已经增加了针对此类恶意软件的检测，我依然怀疑下一代苹果恶意软件将会包含与Windows同行类似的功能。现在，针对Windows系统的恶意软件攻击已经频频利用到多态代码，该技术可以让每一份软件都变得独一无二的。这项技术将让苹果XProtect之类基于数字签名技术的恶意软件检测系统陷入无用武之地的尴尬状态。

　　坏蛋们可以用很多种方法来传播恶意软件：设置包含陷阱的色情网站、利用伪造的音频和视频编解码器、包含“少量附加功能”的盗版软件以及假冒的安全更新补丁。正在迅速增长的苹果用户数量加上相对薄弱的安全防范技术意味着胆大心细的攻击者更容易获得成功。