Tipps, Tricks & Tools

»Apple bietet ja ein integriertes Malware Removal Tool. Die Bedienung erscheint mir allerdings nicht gerade eingängig. Können Sie kurz schildern, wie sich das Werkzeug nutzen lässt? Vielleicht können Sie dabei auch auf die Verschränkung mit Gatekeeper eingehen?«

macOS beinhaltet einen integrierten Vulnerability Scanner namens Malware Removal Tool (MRT). Er findet sich als MRT.app-Bundle unter "/System/Library/CoreServices /MRT.app /Contents/ MacOS/". Um das Tool einzusetzen, führen Sie die Binärdatei einfach mit dem Flag "-a" für Agent und anschließend mit dem Flag "-r" zusammen mit dem Pfad aus, den Sie unter die Lupe nehmen wollen. Angenommen, Sie listen mit Hilfe des Befehls launchctl list alle LaunchDaemons und LaunchAgents auf, die derzeit laufen, und Sie finden eine verdächtige Datei, die etwa mit "com.abc" beginnt, dann können Sie die mögliche Gefahr mit folgendem Befehl scannen:

$ sudo /System/Library/CoreServices/ MRT.app/Contents/MacOS/mrt -a -r ~/Library/LaunchAgents/com.abc.123.c1e71c3d22039f57527c52d467e06612af4fdc9A.plist

Im nächsten Schritt folgt eine Überprüfung der von Ihnen aufgespürte Bedrohung auf Übereinstimmungen mit einem bei MRT oder "/System/Library/CoreServices/XProtect.bundle/ Contents/Resources/XProtect.yara" bekannten Hash. Wird die Datei erkannt, wird sie gelöscht. Ein sauberer Output würde wie folgt aussehen:

2018-09-24 21:19:32.036 mrt[48924:4256323] Running as agent

2018-09-24 21:19:32.136 mrt[48924:4256323] Agent finished.

2018-09-24 21:19:32.136 mrt[48924:4256323] Finished MRT run

Malware ist meist ein Zahlenspiel. Angreifer müssen nur genügend Leute finden, die auf Phishing-E-Mails reinfallen: Sei es ein Klick, um den iTunes-Account zu kontrollieren, oder die Installation einer Erweiterung für Safari. Allerdings müssen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.