Eclectic Light CompanyのHoward Oakley氏によると、この6ヶ月の間に、macOSのマルウェア対策は、これまでの7年間よりも大きく変化し、MacがCatalina以降であれば、多くの商用アンチマルウェア製品と同様に、完全に先制的に動作するようになったとのことです

3月にmacOS 12.3にXProtect Remediatorが登場するまで、マルウェア対策のシステムツールは基本的にXProtectとMRTに限られていました、XProtectは主に、隔離フラグが設定されているアプリやその他のコードを、既知のマルウェアのシグネチャのリストと照合し、検知することしかできませんでした

Apple はより頻繁にチェックするように範囲を広げ、これらの署名を数週間ごとに更新し続けていますが、それらには限界があります

MRTは、既知のマルウェアの検出と削除の両方のスキャンを実行しました。最も顕著なのは起動直後ですが、頻繁ではありません

XProtect Remediatorは、検出されたマルウェアのスキャンと修復の両方を行う実行コードモジュールで構成されています、現在のところ、以下のようなものがあります

• Adloadは、不要なアドウェアや PUP をダウンロードすることで知られる固有のトロイの木馬
• DubRobber は、XCSSET としても知られる厄介で用途の広いトロイの木馬ドロッパーです
• マルウェア対策製品の無害な標準テスト「Eicar」
• Genieoは、アドウェアとして機能するブラウザ・ハイジャッカー
• GreenAcreは、Aoole社内の名称
• MRTv3は、Apple社独自のマルウェア修復ツールを指す
• Pirritは、悪意のあるアドウェア
• SheepSwapは、Appleの内部名称
• SnowBeagleは、Apple社内の名称
• JamfのStuart Ashenbrenner氏がCloudMensisとして特定されたSnowDrift、ESETが最初に同定したスパイウェア
• ToyDropは、Apple社内部での名称
• Troviは、クロスプラットフォーム・ブラウザ・ハイジャッカー
• WaterNetは、Appleの内部名称

これらは、XPCサービスであるXProtectPluginServiceによって制御され、ほとんどの定期的なバックグラウンドタスクと同じようにDAS-CTSシステムを使用してスケジュールおよびディスパッチされています

XProtect Remediatorで特徴的なのは、ディスパッチされたタスクが異なるスキャンモジュールを選択し、実行することです、したがって、どのモジュールがいつ実行されたかを知る唯一の方法は、ログを見ることです、幸いなことに、ログ検索述語サブシステムを使えば簡単です

subsystem == “com.apple.XProtectFramework.PluginAPI”

を使用することで、XProtect Remediatorのスキャンのオーケストレーターであることがわかります、Monterey 12.5.1が動作するMacで24時間365日スリープ無しでこれを使用すると、典型的な1日のスキャンアクティビティは次のようになります

DubRobber (XCSSET) スキャナーが最も頻繁に実行され、ユーザーの活動が少ない時間帯に1～2時間おきに15～35秒のスキャンを実行しています

その他のスキャンには、以下のモジュールが含まれます

• Adloadは、毎日1回程度、8秒間スキャンします
• GreenAcre 1.2秒間、1回
• Pirrit 0.5秒間、1回
• SheepSwap 5秒間、1回
• SnowBeagleが10秒間、1回
• スノードリフト（クラウドメンシス）9秒間、1回
• トロービは0.1秒未満の短時間のスキャンを3回
• WaterNetは1回だけ、結論は報告されていません

これらの頻繁な DubRobber スキャンは、検証可能な XPC 接続プロトコルのチェックから始まる構造化された一連のログ エントリを提示します

その後、Yaraルールが読み込まれ、テレメトリが有効になります、これは、スキャンの残りの部分で維持されます

一連の静的コード署名チェックと、一連のパス チェックがあります、ファイルとさらに Yara チェックが続き、最後にスキャン レポートの前のイベントがあり、次の形式を取ります

{“caused_by”:[],”status_message”:”NoThreatDetected”,”status_code”:20,”execution_duration”:15.570410966873169}

これらのスキャンは、現在 XProtect Remediator がインストールされている、macOS Catalina 以降を実行しているすべての Mac で実行されるはずです

スキャンが行われるのは、Mac が起動していて、定期的なバックアップや受信した電子メールの受信などのバックグラウンド タスク以外にはほとんど何も行っていないときが多いようです

macOSの最近のバージョンを使っている人にとっては、これは大きな前進です、また、この新しいマルウェア保護がまだ稼働しているかどうかについての疑いも払拭します、すでに有効になっており稼働して、アクティブにスキャンしています

(Via The Eclectic Light Company.)