macOS XProtect恶意软件检测清单：内置安全系统覆盖25种威胁

想知道macOS能够在无需第三方软件帮助下检测和清除哪些恶意软件吗？苹果公司持续为Mac内置的XProtect安全套件添加新的恶意软件检测规则。虽然大多数规则名称都经过混淆处理，但通过逆向工程技术，安全研究人员可以将它们映射到行业通用名称。

在这篇感恩节更新版的安全专题中，我重新审视了2024年5月开始研究的内容。由于苹果公司持续为XProtect套件添加新模块以应对最新的恶意软件趋势，我预计这个专栏将持续更新。以下是您的Mac能够自主检测和清除的恶意软件类型。

XProtect发展历程

XProtect于2009年作为macOS X 10.6 Snow Leopard的一部分首次推出。最初，它只能检测安装文件中的恶意软件并向用户发出警告。然而，XProtect最近已经显著进化。2022年4月，长期使用的恶意软件清除工具（MRT）退役，促使更强大的原生反恶意软件组件XProtectRemediator（XPR）的出现，负责检测和清除Mac上的威胁。

XProtect套件利用基于Yara签名的检测技术来识别恶意软件。Yara是一个广泛采用的开源工具，基于代码或元数据中的特定特征和模式来识别文件（包括恶意软件）。Yara规则的优势在于任何组织或个人都可以创建和使用自己的规则，包括苹果公司。

截至macOS 15 Sequoia，XProtect套件包含三个主要组件，协同工作保护Mac系统安全。

签名映射挑战

不幸的是，苹果在XProtect中主要使用通用的内部命名方案来混淆常见恶意软件名称。虽然这样做有充分的理由，但这使得那些想要确切了解XProtect能够识别哪些恶意软件的用户面临挑战。

例如，一些Yara规则被赋予更明显的名称，如XProtect_MACOS_PIRRIT_GEN，这是用于检测Pirrit广告软件的签名。然而，在XProtect中，您主要会发现更通用的规则，如XProtect_MACOS_2fc5997和只有苹果工程师才知道的内部签名，如XProtect_snowdrift。这就是Phil Stokes和Alden等安全研究人员发挥作用的地方。

Sentinel One Labs的Phil Stokes在GitHub上管理着一个便捷的存储库，将苹果使用的这些混淆签名映射到供应商使用的更常见名称，这些名称可以在VirusTotal等公共恶意软件扫描器中找到。此外，Alden最近在理解XPR工作原理方面取得了重大进展，从其扫描模块二进制文件中提取了Yara规则。

XProtect Remediator的25个扫描模块

虽然XProtect应用程序本身只能检测和阻止威胁，但清除工作需要依靠XPR的扫描模块。目前，我们可以识别当前版本XPR（v156）中25个清除器中的23个，用于保护您的计算机免受恶意软件侵害。几乎所有模块都使用苹果内部命名方案，在运行扫描或执行清除时不会通知用户。

这些模块涵盖了从广告软件到高级持续性威胁的各种恶意软件类型，包括著名的Pirrit广告软件、各种木马程序、浏览器劫持程序以及其他常见的Mac平台威胁。苹果通过定期更新这些检测模块，确保Mac用户能够抵御不断演变的网络安全威胁。

Q&A

Q1：XProtect是什么？它与第三方安全软件有什么区别？

A：XProtect是苹果公司自2009年起内置在macOS中的安全套件，能够自动检测和清除恶意软件，无需用户安装第三方安全软件。它使用Yara签名检测技术，并在2022年后增加了XProtectRemediator组件来主动清除威胁。

Q2：为什么苹果要混淆XProtect中的恶意软件名称？

A：苹果使用通用的内部命名方案来混淆常见恶意软件名称是出于安全考虑。例如，将明显的恶意软件名称改为XProtect_MACOS_2fc5997这样的通用规则名，或使用XProtect_snowdrift这样只有苹果工程师才知道的内部签名。

Q3：XProtect Remediator目前能检测多少种恶意软件？

A：根据最新的XProtect Remediator版本（v156），该系统包含25个扫描模块，安全研究人员目前已经识别出其中23个模块的具体功能。这些模块涵盖从广告软件到高级威胁的各种恶意软件类型，且会定期更新。