雷鋒網(wǎng)消息，據(jù)外媒7月21日報道，卡巴斯基實(shí)驗(yàn)室的安全專家最近揪出了名為 Calisto 的惡意病毒，這家伙居然是 macOS 上臭名昭著的 Proton 病毒的前身。

卡巴斯基在分析報告中寫道，2016 年被創(chuàng)造出來后，該病毒就被上傳到了 VirusTotal、不過整整兩年后的 5 月份，Calisto 依然藏在反病毒解決方案的盲區(qū)中，最近才有人真正重視這個問題。

“從理論上來講，這個 Calisto 后門可能是 Backdoor.OSX.Proton 病毒家族的成員?！?卡巴斯基的專家解釋道。不過，Calisto 使用的惡意代碼開發(fā)于 2016 年，而 Proton 則是 2017 年才進(jìn)入安全專家的視野。

專家指出，Calisto 其實(shí) 2016 年就被上傳 VirusTotal，但直到今年卡巴斯基都不知道這一威脅是如何“繁殖”起來的，意識到這一點(diǎn)后它們迅速發(fā)現(xiàn)，一些 Calisto 攜帶的功能現(xiàn)在還處在無人監(jiān)管的情況下。

據(jù)悉，Calisto 的安裝文件是一個未簽名的 DMG 圖片，不過它卻用 Intego 安全解決方案（Mac 版）做了偽裝。同時，卡巴斯基還注意到，雖然與 Proton 同根同源，但 Proton 的一些功能并沒有出現(xiàn)在 Calisto 中。

Proton 的真面目去年 3 月份才大白于天下，制造這一麻煩的黑客居然在地下黑客論壇公然兜售這一病毒，整個項(xiàng)目價格在 1200-830000 美元不等。

幾周之后，Proton 就首次參與到了黑客攻擊中去，罪犯們黑掉了 HandBrake 應(yīng)用的網(wǎng)站并將病毒植入了這款應(yīng)用。2017 年 10 月，又有人將 Proton RAT 植入了合法應(yīng)用，如 Elmedia Player 和下載管理器 Folx。無論是 Proton RAT 還是 Calisto 均為遠(yuǎn)程訪問特洛伊木馬（RAT），一旦被感染，黑客就能取得系統(tǒng)的控制權(quán)。

雷鋒網(wǎng)了解到，如果 Mac 被 Calisto 感染，黑客就能輕松遠(yuǎn)程實(shí)現(xiàn)下列功能：

1. 進(jìn)行遠(yuǎn)程登錄

2. 分享屏幕

3. 為用戶設(shè)定遠(yuǎn)程登錄許可

4. 在 macOS 下創(chuàng)立隱藏的“根”賬戶，并專門為特洛伊代碼設(shè)立密碼

專家對其進(jìn)行靜態(tài)分析后還發(fā)現(xiàn)了另外幾個尚未完成的功能，比如：

1. 為 USB 設(shè)備加載或卸載 Kernel 拓展

2. 從用戶公司名錄盜取數(shù)據(jù)

3. 與操作系統(tǒng)“同歸于盡”

安全專家指出，Calisto 其實(shí)在蘋果推出 SIP（系統(tǒng)完整性保護(hù)）安全機(jī)制前就開始研發(fā)了，因此它無法繞過 SIP。

“Calisto 在裝有 SIP 的電腦上會‘束手束腳’，這套安全機(jī)制隨 OS X El Capitan 誕生。有了 SIP，蘋果就能防止關(guān)鍵的系統(tǒng)文件被更改，即使有根權(quán)限的用戶也無能為力?！毖芯咳藛T解釋道?！癈alisto 的開發(fā)時間可能在 2016 年或更早，而且其創(chuàng)造者當(dāng)時沒考慮到 SIP 這項(xiàng)新技術(shù)的威力。不過，許多用戶還是因?yàn)楦鞣N各樣的原因關(guān)掉了 SIP，給黑客以可乘之機(jī)?！?/p>

也就是說，只要你“乖乖聽話”，打開蘋果推薦的下列幾項(xiàng)安全機(jī)制，最新的 macOS 是不可能被 Calisto、Proton 和類似的威脅攻破的。

1. 及時將操作系統(tǒng)升級至最新版本

2. 永遠(yuǎn)不要關(guān)掉 SIP

3. 只運(yùn)行從可信商店下載的簽名軟件，如 App Store

4. 打開殺毒軟件

最后，安全專家還透露稱，Calisto 病毒其實(shí)已經(jīng)被原作者拋棄了。

雷鋒網(wǎng)Via. Security Affairs

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。