Binary-Kontrolle

Mac OS X mit Google Santa und KnockKnock schützen

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Nur für Testzwecke sinnvoll und angreifbar

Google Santa befindet sich momentan noch in der Entwicklungsphase. Grundsätzlich lässt sich das Tool durch Kernel-Exploits aushebeln und ist weder vollständig sicher noch sonderlich stabil. Google empfiehlt daher den Betrieb in einer Testumgebung und erst bei ausreichenden Tests die Übernahme in die Produktionsumgebung.

Das Werkzeug kann und soll andere Security Software außerdem nicht ersetzen, sondern ist von den Entwicklern als zusätzliche Sicherheitsinstanz geplant worden. Für eine Ergänzung der Sicherheitsinfrastruktur ist das Programm durchaus geeignet, wenn die Mac-Rechner im eigenen Unternehmen keine Stabilitäts-Probleme mit Google Santa haben.

Mac-Malware mit KnockKnock erkennen

Neben Google Santa ist auch das Open-Source-Tool KnockKnock durchaus interessant für Netzwerke mit Mac-OS-Rechnern. Das Tool hilft dabei, Schadsoftware zu erkennen, die auf Mac-Rechnern installiert ist oder durch neue Programme ausgeführt wird. Entwickelt wurde das Tool von einem ehemaligen Angestellten der NASA und NSA.

KnockKnock zeigt alle persistenten Binaries und Prozesse auf einem Mac-Rechner an.
KnockKnock zeigt alle persistenten Binaries und Prozesse auf einem Mac-Rechner an. (Bild: Thomas Joos)

Wie bei Google Santa benötigen Administratoren auch bei KnockKnock einen gewissen Überblick in der Funktionsweise des Terminals. Beim Start zeigt das Tool alle laufenden Prozesse an, die automatisch gestartet werden. Standard-Prozesse und Apps von Apple werden automatisch ausgeblendet – das gilt auch für Apps, die digital signiert sind.

Anwender werden aber nicht über Viren informiert, sondern müssen die gestarteten Prozesse selbst analysieren. Um KnockKnock nutzen zu können, müssen Administratoren zunächst das Archiv als Zip-Datei bei Github herunterladen und entpacken. Danach wird im Terminal das Verzeichnis von KnockKnock gewechselt. Mit dem folgenden Befehl werden persistente Binaries ausgelesen:

Python knockknock.py

KnockKnock bietet auch eine Hilfe zu den verschiedenen Optionen des Tools an.
KnockKnock bietet auch eine Hilfe zu den verschiedenen Optionen des Tools an. (Bild: Thomas Joos)

Eine Hilfe der verschiedenen Optionen von Python lassen sich mit Python knockknock.py -h anzeigen. Grundsätzlich sind aber keine Optionen notwendig. Wer umfangreichere Informationen erhalten will, kann die Option -v für verbose nutzen. Mit -a werden auch die Apple-Apps mit angezeigt, die Option -w zeigt auch die Binaries auf der Whitelist an.

Fazit

Der Mythos vom Virensicheren Mac-Rechner ist schon lange überholt. Auch abgeschottete Mac-Rechner lassen sich durchaus mit Viren, Trojanern und anderen Angreifern befallen. Administratoren sollten daher vorbeugen und sich mit Sicherheits-Tools auseinandersetzen die Angreifer entdecken. Die beiden kostenlosen Opensource-Tools Google Santa und KnockKnock sind dabei wertvolle Hilfen.

Wer sich mit dem Thema Viren auf Mac-Rechnern näher auseinandersetzen will, kann sich ein PDF mit interessanten Informationen des KnockKnock-Entwicklers herunterladen. Sehr interessant ist auch ein YouTube-Film des Entwicklers zu diesem Thema.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43505463 / Betriebssystem)