Silver Sparrow: Was Apple gegen die geheimnisvolle Malware unternimmt und wie man sie aufspürt

Auf rund 30.000 Macs in mehr als 150 Ländern wurde die Existenz einer neuartigen Schadsoftware mittlerweile nachgewiesen. Die Dunkelziffer der Installationen von "Silver Sparrow" dürfte allerdings deutlich höher liegen. Betroffen sind sowohl Computer mit Intel-Prozessoren als auch die drei neuen Rechner aus Cupertino, in denen Apples hauseigener M1-Chip arbeitet. In dieser Meldung erklären wir, wie der Schädling auf den Mac gelangen könnte, welche Gegenmaßnahmen Apple ergriffen hat und wie man die Malware auf dem eigenen Rechner aufspüren kann.


Was ist "Silver Sparrow" und wie kommt er auf den Mac?
Bei "Silver Sparrow" handelt es sich um einen Trojaner, welcher allerdings zunächst keinen Schadcode beinhaltet. Dieser könnte zu einem unbekannten späteren Zeitpunkt aus dem Internet nachgeladen werden. Nach Angaben der Sicherheitsexperten von Red Canary, die den Schädling entdeckten, ist das allerdings bisher in keinem Fall geschehen. Die Malware wird in Form von signierten Installationspaketen verteilt, welche die Namen "updater.pkg" (Intel-Macs, Developer-ID: Saotia Seay, 5834W6MYX3) und "update.pkg" (Universal Binary, Developer-ID: Julie Willey, MSZ3ZH74RK) tragen. Diese müssen vom Mac-Nutzer ausgeführt werden, damit "Silver Sparrow" auf dem Computer aktiv werden kann. Die genauen Verbreitungswege sind noch unklar, vermutlich wird die Malware als reguläre Mac-Software mit mehr oder weniger bekannten Namen außerhalb des Mac App Stores beworben.

Welche Gegenmaßnahmen hat Apple getroffen?
Die verteilten Exemplare von "Silver Sparrow" sind mit legitimen Entwickler-Zertifikaten signiert. Apple hat die Zertifikate nach eigenen Angaben mittlerweile zurückgezogen, das berichtet MacRumors. Mit dieser Maßnahme verhindert das kalifornische Unternehmen, dass der Schädling weitere Macs befällt. Zudem wird "Silver Sparrow" auf bereits infizierten Rechnern nicht mehr ausgeführt, da seit Anfang Februar dieses Jahres auf allen Systemen ab macOS High Sierra nur noch von Apple beglaubigte Apps laufen, welche mit einer gültigen Notarisierung versehen sind. Diese wird stets beim Start einer App überprüft.

Wie spürt man einen Befall mit "Silver Sparrow" auf?
Apples in macOS enthaltenes Anti-Malware-Tool XProtect schlägt nach derzeitigem Kenntnisstand nicht auf "Silver Sparrow" an. Daher sind manuelle Maßnahmen erforderlich, um einen Befall mit der Schadsoftware aufzuspüren. Die Malware legt auf der System-SSD beziehungsweise -Festplatte einige Dateien ab, welche auf ihre Existenz hindeuten. Bei beiden Versionen von "Silver Sparrow" sind das die folgenden Files:

~/Library/._insu
/tmp/agent.sh
/tmp/version.json
/tmp/version.plist

Bei der Intel-Variante kommen die folgenden drei Dateien hinzu:

~/Library/Application Support/agent_updater/agent.sh
~/Library/LaunchAgents/agent.plist
~/Library/LaunchAgents/init_agent.plist

Das Universal Binary für Intel- und M1-Macs schreibt diese Files auf den Datenträger:

~/Library/Application Support/verx_updater/verx.sh
~/Library/LaunchAgents/verx.plist
~/Library/LaunchAgents/init_verx.plist

Das Vorhandensein der verräterischen Dateien lässt sich mit folgenden Terminal-Befehlen ermitteln:

ls -l ~/Library/._insu
ls -l ~/tmp/

ls -l ~/Library/"Application Support"/agent_updater/agent.sh
ls -l ~/Library/LaunchAgents/agent.plist
ls -l ~/Library/LaunchAgents/init_agent.plist

ls -l ~/Library/"Application Support"/verx_updater/verx.sh
ls -l ~/Library/LaunchAgents/verx.plist
ls -l ~/Library/LaunchAgents/init_verx.plist

Die Tilde (~, N) steht hierbei für den pesönlichen Benutzerordner. Alternativ kann man auch mithilfe des Finders in den entsprechenden Verzeichnissen nach den Dateien Ausschau halten: G, anschließend den Namen des Ordners eingeben, also beispielsweise "~/Library/Launchagents".

Was tun, wenn der Schädling auf dem Rechner ist?
Sollte der Mac von "Silver Sparrow" befallen sein, kann man versuchen, die Malware mit einer Antivirensoftware zu entfernen. Allerdings besteht dabei die Gefahr, dass Reste zurückbleiben und sich der Schädling wieder aktiviert. Sicherer ist daher ein Vorgehen, welches Experten seit jeher für alle kompromittierten Systeme dringend empfehlen: Den Mac neu aufsetzen, also macOS von Grund auf installieren, und dann ein aller Wahrscheinlichkeit nach virenfreies Time-Machine-Backup einspielen.

Kommentare

WollesMac
WollesMac23.02.21 15:50
Zudem wird "Silver Sparrow" auf bereits infizierten Rechnern nicht mehr ausgeführt, ...

Mal blöd gefragt, aber warum, soll ich mir jetzt -bei aktuellem System-noch Gedanken machen und rumsuchen?
+3
Deichkind23.02.21 16:14
Verpflichtung zur Notarization wurde scharf geschaltet im Februar 2020, jedenfalls bei macOS Catalina. Dass auch aktuelle Versionen des macOS Mojave und High Sierra darauf achten, war mir gar nicht klar. Bisher war immer nur von macOS Catalina aufwärts die Rede, auch bei Apple.

Seit heute Nacht puscht Apple Malware Removal Tool Version 1.74 und XProtect 2140 auf die Macs. Siehe Howard Oakleys Blog: Auf meinem MacBook Air sind die Updates noch nicht angekommen. Den Vorgang kann man per Terminal und mit einem bei Howard Oakley erhältlichen Tool jedoch anstoßen.
+1
Deichkind23.02.21 16:27
WollesMac
Mal blöd gefragt, aber warum, soll ich mir jetzt -bei aktuellem System-noch Gedanken machen und rumsuchen?
Die Signatur wird doch nur bei der Installation geprüft. Ist die Software erst einmal auf dem Rechner installiert, bedarf es zusätzlicher Maßnahmen, um sie loszuwerden.
0
Mecki
Mecki23.02.21 16:32
Der Inhalt von /tmp ist nicht persistent und geht nach jedem Neustart des Systems verloren. Wenn also der Schädling nicht länger im System aktiv ist, weil Apple die Certs zurück gezogen hat, dann wird man spätestens nach einem Neustart nichts mehr dort finden.
kann man versuchen, die Malware mit einer Antivirensoftware zu entfernen.
Die meisten Produkte in diesem Bereich für den Mac rangieren von schlecht über Müll bis hin zu Abzocke und machen diverse Schwierigkeiten (10% aller Nutzer bei uns im Support haben ein Problem, dass durch so einen tolle Antivirsensoftware erst verursacht wird). Am Ende fängt man sich dabei sogar noch einen neuen Schädling ein, weil man irgend eine dieser nutzlosen überall beworbenen Schutz Tools lädt. Macht das bloß nicht! Und die kommerziellen Tools sind alle überteuert für das was sie bieten.

Der Prozess lässt sich vom System ganz normal als Launch Agent starten, denn einfach mal so führt das System nichts beim Boot aus. Siehe die ganzen Dateien in "~/Library/Launchagents", wobei der Ordner eigentlich "LaunchAgents" heißt, was durchaus relevant ist, wenn man ein Case-Sensitive Dateisystem nutzt. Man kann dem System aber leicht sagen, es soll den Prozess beenden und nicht wieder starten, z.B. so
sudo launchctl bootout user/501 ~/Library/LaunchAgents/agent.plist
501 wäre hier die ID des Nutzers, die ggf. abweichen kann. Seine eigene ID sieht man mit "id -u" im Terminal.

Noch einfacher ist aber, man löscht einfach alle oben genannten Dateien jeweils mit
sudo rm DATEIPFAD
und startet dann sein System neu und zwar auf die ganz harte Tour: Power Button einfach so lange gedrückt halten bis der Schirm schwarz wird. Weil dann kann der Prozess unmöglich noch irgendwas beim herunterfahren machen, sollte noch laufen (was eigentlich nicht mehr geht, seit Apple das Cert zurück gezogen hat und man seither nur einmal neu gestartet hat).

Grundsätzlich sollte man immer einen Überblick haben, was sich in

  • ~/Library/LaunchAgents (Agents des aktuellen Nutzers)
  • /Library/LaunchAgents (Agents aller Nutzer)
  • /Library/LaunchDaemons (Daemons aller Nutzer)

befindet, denn ab Werk befindet sich da gar nichts, weil Apple seine Daemons findet man in

/System/Library/LaunchDaemons

und da darf aber nur das System selber rein. In diesen Verzeichnissen befindet sich alles, was das System von sich aus startet, entweder beim Boot oder wenn ein bestimmtes Ereignis eintrifft (zeitbasiert, wenn ein bestimmter Port angefragt wird, wenn eine bestimmte Netzwerkverbindung geöffnet werden soll, wenn ein Datei in eine bestimmtes Verzeichnis geschrieben wird, usw.) und da sollte nie was zu finden sein, dass man keiner gewollten App zuordnen kann.
+14
Mecki
Mecki23.02.21 16:34
Deichkind
Die Signatur wird doch nur bei der Installation geprüft.
Ist nicht korrekt, siehe Artikel:
Zudem wird "Silver Sparrow" auf bereits infizierten Rechnern nicht mehr ausgeführt, da seit Anfang Februar dieses Jahres auf allen Systemen ab macOS High Sierra nur noch von Apple beglaubigte Apps laufen, welche mit einer gültigen Notarisierung versehen sind. Diese wird stets beim Start einer App überprüft.
0
Frank Drebin
Frank Drebin23.02.21 16:45
Mit SilentKnight lassen sich die neuen XProtect- und die MRT-Versionen auf Macs herunterladen und installieren. Somit kann man den eingebauten Schutz auf jeden Fall schnell manuell aktualisieren.

+5
R-Waves
R-Waves23.02.21 17:11
Zudem wird "Silver Sparrow" auf bereits infizierten Rechnern nicht mehr ausgeführt, da seit Anfang Februar dieses Jahres auf allen Systemen ab macOS High Sierra nur noch von Apple beglaubigte Apps laufen, welche mit einer gültigen Notarisierung versehen sind. Diese wird stets beim Start einer App überprüft.

Trifft das denn auch auf Skripte zu? Denn die aufgeführten Dateien "agent.sh" und "verx.sh" sind ja offensichtlich einfache Shell-Skripte. Meines Wissens gibt es hier keine Notarization (vielleicht kann mich jemand korrigieren, falls ich mich irre), sodass ein im Hintergrund laufendes Skript weiterhin Schabernack im System treiben könnte.
+1
Dupondt23.02.21 17:14
Mecki
wobei der Ordner eigentlich "LaunchAgents" heißt, was durchaus relevant ist, wenn man ein Case-Sensitive Dateisystem nutzt.

Danke für den Hinweis, Tippfehler sind korrigiert.
0
MikeMuc23.02.21 17:25
Mecki
Also Artikel hier sind nicht die Bibel. Wobei ja hoffe, das dieser 2. Artikel zum Thema nach der gestern verrissenen Version besser recherchiert ist. Er ist zumindest deutlich ausführlicher
+2
mrbean
mrbean23.02.21 17:30
Danke fuer die Infos. Sind das vom System versteckte Dateien oder sind die sofort sichtbar wenn man in die Library geht?
+1
maculi
maculi23.02.21 17:41
sowohl der Ordner tmp, als auch die persönliche Library und alle Dateien, die mit einem Punkt anfangen sind standardmäßig unsichtbar. Einmal cmd-shift-Punkt drücken, wenn du im Finder bist und der ganze Kram wird sichtbar. Mit der gleichen Kombi machst du das auch wieder unsichtbar.
+5
Mecki
Mecki23.02.21 17:54
Frank Drebin
Mit SilentKnight lassen sich die neuen XProtect- und die MRT-Versionen auf Macs herunterladen und installieren.
Nein, lassen sich nicht, außer du hast SIP ausgeschaltet. Genau derartige Modifikationen am System lässt SIP eben nicht zu, selbst dann nicht wenn du root Rechte hast.

R-Waves
Trifft das denn auch auf Skripte zu?
Skripte selber werden nicht wirklich ausgeführt, das System tut nur so als ob, sie sind Anweisungen für einen Interpreter, wie z.B. die Bash Shell, der führt sie aus, daher kann ein Skript nur das tun, was auch sein Interpreter tun darf. Und der kommt ja mit dem System und wurde von Apple signiert.

Allerdings kannst du alle laufenden Shell Skripte sofort mit einem
sudo killall -9 bash zsh csh tcsh
den Gnadentod sterben lassen und das ist meistens auch sicher, denn im normalfall laufen im Hintergrund bei macOS keine Skripte dauerhaft.

Wirklich interessant wäre der Inhalt der beiden Dateien agent.plist
und init_agent.plist, denn dort steht drinnen, wann launchd was genau wie starten soll und ggf. auch am laufen halten soll, wenn der Prozess beendet wird. Dort steht welche Prozesse überhaupt beim Boot gestartet werden. Wenn man das unterbinden kann, dann machen die anderen Dateien nichts mehr, die liegen dann einfach nur noch herum, weil die werden wenn dann von diesen Prozessen erst gestartet oder ggf. sogar erst wieder neu erzeugt.
+2
Deichkind23.02.21 18:50
Mecki
Frank Drebin
Mit SilentKnight lassen sich die neuen XProtect- und die MRT-Versionen auf Macs herunterladen und installieren.
Nein, lassen sich nicht, außer du hast SIP ausgeschaltet. Genau derartige Modifikationen am System lässt SIP eben nicht zu, selbst dann nicht wenn du root Rechte hast.
Ich habe es soeben ausprobiert. SilentKnight installiert natürlich nicht selbst, sondern stößt den dafür vorgesehenen Prozess an.
In Install.log erscheint dann der Eintrag "softwareupdate[(eine Zahl)]: Starting softwareupdate CLI tool".
+2
EThie23.02.21 19:34
Auf MacGadget wird behauptet, Apple habe schon mit einer neuen Version von XProtect reagiert.
https://www.macgadget.de/News/2021/02/23/Malware-Schutz-Apple-verteilt-neue-XProtect-und-MRT-Updates-an-Macs
0
z3r0
z3r023.02.21 20:13
Kudos an vog, hat sich die Kritik zu Herzen genommen und den Artikel ausführlich überarbeitet als neuen online gestellt!

Die Kritik des ersten Artikels habe ich allerdings auch nicht verstanden.
War alles drin... 🤷🏼‍♂️

Dennoch: Danke vog!
+1
Bodo_von_Greif23.02.21 21:18
Hi,

im Terminal sorgt der Schalter -a dafür, dass auch normalerweise verborgene Dateien angezeigt werden:

z.B.
ls -la

total 445112
drwxrwxr-x 158 xxx wheel 5056 6 Feb 14:13 .
drwxr-xr-x 9 root admin 288 1 Jan 2020 ..
drwxr-xr-x 3 xxx staff 96 21 Feb 2007 .Ankh
drwxr-xr-x 5 xxx staff 160 19 Dez 2007 .Ankh2
-rw-r--r-- 1 xxx staff 32472 14 Dez 2001 .B.blend
-rw-r--r-- 1 xxx staff 25181 14 Dez 2001 .Bfont
-rw-r--r-- 1 xxx staff 8 14 Dez 2001 .Bfs
-r-------- 1 xxx staff 7 20 Sep 2016 .CFUserTextEncoding
drwx------ 3 xxx wheel 96 16 Okt 15:54 .DDPreview
-rw-r--r--@ 1 xxx staff 67588 22 Feb 12:49 .DS_Store
drwxr-xr-x 3 xxx staff 96 15 Aug 2008 .JDiskReport
...

Gruss,

Bodo
[x] nail here for new monitor
0
Weia
Weia23.02.21 23:03
MacTechNews
Sollte der Mac von "Silver Sparrow" befallen sein, kann man versuchen, die Malware mit einer Antivirensoftware zu entfernen.
Wieso denn mit einer Antivirensoftware? Alles, was man tun muss, ist, die beiden genannten Dateien in den LaunchAgents-Ordnern zu löschen; dann ist der Spuk vorbei, denn kein Virus kann irgendetwas tun, wenn es nicht gestartet wird. Die Warnung vor Antivirensoftware von Mecki kann ich nur dick unterstreichen; das ist Geschäftemacherei mit der Angst der Nutzer.
Allerdings besteht dabei die Gefahr, dass Reste zurückbleiben und sich der Schädling wieder aktiviert. Sicherer ist daher ein Vorgehen, welches Experten seit jeher für alle kompromittierten Systeme dringend empfehlen: Den Mac neu aufsetzen, also macOS von Grund auf installieren, und dann ein aller Wahrscheinlichkeit nach virenfreies Time-Machine-Backup einspielen.
Sorry, aber das halte ich für unverantwortliche Panikmache. Es ist doch vollkommen absurd, ein ganzes System neu aufzusetzen, statt einfach zwei dem Namen nach bekannte Dateien in ~/Library/LaunchAgents zu löschen (denn das reicht ja bereits, um das Virus unschädlich zu machen – der Rest ist dann einfach Dateimüll). Wer so etwas empfiehlt, ist alles mögliche, aber ganz sicher kein Experte. Mit Eurem völlig übers Ziel hinausschießenden Rat befördert Ihr genau jene Nutzer-Ängste vor angeblich unüberschaubaren Gefahren, die die Antivirensoftware-Hersteller dann so schamlos ausnutzen. Ein Virus ist nichts anderes als ein stinknormales Programm; wird es nicht gestartet, tut es auch nichts.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
+2
mao1109
mao110924.02.21 08:36
maculi
Einmal cmd-shift-Punkt drücken, wenn du im Finder bist und der ganze Kram wird sichtbar.
Bin zwar was Mac betrifft ein ziemlich alten Hasen, aber den Trick kannte ich nicht! DANKE!
+1
Bodo_von_Greif25.02.21 18:24
Nicht schlecht, kannte ich auch nicht
[x] nail here for new monitor
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.