Appleは、ThiefQuestを検出する可能性のあるXProtectのサイレントアップデートをリリース

Appleは、ThiefQuestを検出する可能性のあるXProtectのサイレントアップデートをリリース

AppleはXProtectが使用するデータファイルに2020年7月6日付けでアップデートをおこない、バージョンを2125にしています

これは早期のアップデートであり、通常の2週間ごとのアップデートサイクルでは、次のアップデートは7月9日頃にMRTのアップデートとともに行われると予想されていました

Appleは、これらのアップデートによって何が追加または変更されたかについての情報を公開しておらず、内部コード名を使用してXProtectによって検出されたマルウェアの識別を難読化しています

XProtectのYara定義には、MACOS.6 cb 9746という名前のエンティティの新しいエントリが1つ含まれています、他には変更はありません

これは、最近発見されたマルウェア/ランサムウェアのThiefQuestまたはEvilQuestの検出を追加する可能性があることを意味します

追記:

Patrick Wardle(@patrickwardle)氏は、この新しいバージョンのXProtectデータが実際にThiefQuest / EvilQuestランサムウェアを検出することを確認しました


確認方法

このアップデートがインストールされているかどうかを確認するには、「マーク」>「このMacについて」から「システム情報」を開き、「ソフトウェア」の下の「インストール」項目を選択します

表示されれば、ソートを「インストール日」の新しい順にすると「XProtectPlistConfigDat」のバージョンが2125になっていればアップデートされています

XProtect 2125 00002 z

自動でインストールされるには「システム環境設定」>「ソフトウェアアップデート」で「詳細…」ボタンをクリックし「システムデータファイルとセキュリティアップデートをインストール」にチェックが入って有効になっている必要があります

XProtect 2125 00004 z

「サイレント」セキュリティ更新プログラムをインストールする方法

Eclectic Light Companyがリリースしているアプリ「SilentKnight」を利用します

XProtect 2125 00003 z

アプリを開くと、自動的に次のことが行われます

  • 実行中の Mac モデルと macOS のリリースを確認します
  • そのモデルの最新の EFI ファームウェア バージョンを検索し、その Macのファームウェアと比較します
  • Mac がまだ古いバージョンの macOS (El Capitan に戻る) を実行していて、新しい EFI バージョン番号付けシステムに更新されていない場合は、バージョンを報告するだけです
  • Mac が新しいナンバリングシステムを実行している場合は、EFI ファームウェアが古いかどうかを報告します。それらのMacがCatalinaのなどのプレリリースソフトウェアを実行することを可能にします、それらのより最近のファームウェアのバージョンに問題はありません。
  • XProtect、Gatekeeper、MRT、KEXTブロッカー、TCCなどのセキュリティデータのバージョンをチェックし、実行すべき内容の一覧と比較し、異なる場合は警告が出されます
  • SIP がオフになっているかどうか、FileVault がアクティブかどうかなどの基本的なセキュリティシステムをチェックします
  • システムまたはセキュリティソフトウェアの更新プログラムがあるかどうかを自動的にチェックします
  • 利用可能な更新プログラムがある場合は、「Install all updates」ボタンをクリックしてダウンロードしてインストールできるため、Macを最新の状態に保つことができます

SilentKnight 00001 z

最新の「SilentKnightバージョン1.8」は、ここから入手できます


LEAVE A REPLY

*
*
* (公開されません)