macOS 长期以来因其强大的集成安全堆栈而受到认可，但网络犯罪分子正在寻找利用这些防御措施进行武器化的方法。

 最近的事件表明，攻击者利用 Keychain、SIP、TCC、Gatekeeper、File Quarantine、XProtect 和 XProtect Remediator 来秘密传递恶意负载。 

关键要点
1. 滥用 macOS 工具（Keychain、SIP、文件隔离）进行凭证窃取和规避。2 
. 通过禁用 Gatekeeper、点击劫持 TCC 和卸载 XProtect 来规避防御。3 
. 使用 Sigma 规则和第三方 EDR 进行 ESF 日志记录，确保检测。

利用 macOS 内置保护

卡巴斯基报告称，攻击者已从直接攻击转向对合法工具和功能的精准滥用。一种常见的攻击方式是利用 Keychain：攻击者使用类似实用程序或原生 /usr/bin/security list-keychains 和 security dump-keychain 命令来获取凭证。

为了检测这种未经授权的使用，组织必须通过 ESF 记录进程创建事件，并使用 -list-keychains 或 -dump-keychain 标记 cmdline 与安全性匹配的调用。

代表性的 Sigma 规则在 attack.credential-access (T1555.001) 下触发这些模式。

系统完整性保护 (SIP) 是另一个重点。攻击者会启动到恢复模式执行，但他们通常会先使用 csrutil status 探测 SIP 状态。

由于恢复模式执行逃避标准日志，防御者应实施持续的 SIP 状态监控，并在状态变化时生成警报，这种方法与 attack.discovery 下的 Sigma 规则 T1518.001 一致。

利用文件隔离、Gatekeeper 和 TCC 进行攻击

文件隔离区使用 com.apple.quarantine 属性标记下载的可执行文件，可以通过 curl 或 wget 等低级工具或通过调用

使用 -d com.apple.quarantine 监控 xattr 执行可以检测隔离移除尝试（attack.defense-evasion 下的 Sigma T1553.001）。

Gatekeeper 依赖于代码签名和 spctl 实用程序。卡巴斯基表示，攻击者可能会禁用 Gatekeeper，或者诱骗用户右键单击应用程序以绕过签名检查。

使用 –master-disable 或 –global-disable 参数对 spctl 发出警报可以发现这些防御规避策略（Sigma T1562.001）。

透明度、同意和控制 (TCC) 通过基于 SQLite 的 TCC.db 管理对摄像头、麦克风和完整磁盘访问的访问。 

虽然修改需要禁用 SIP 或劫持系统进程，但攻击者会使用点击劫持覆盖层来诱骗用户授予更高的权限。持续审核 TCC.db 的更改和用户提示对于早期预警至关重要。

最后，XProtect 和 XProtect Remediator 提供基于签名的恶意软件阻止和自动修复功能。 

经验丰富的攻击者会尝试通过注入未签名的内核扩展 (kext) 或滥用 launchctl 命令卸载 Apple 的守护进程来禁用或绕过这些服务。防御者必须跟踪 launchctl 卸载和未签名的内核扩展加载尝试。

尽管macOS 的集成安全层非常强大，但攻击者仍在不断改进以利用合法机制。 

实施基于 ESF 的详细日志记录、部署关键命令模式的 Sigma 规则以及使用第三方 EDR 解决方案增强本机防御可以有效检测和阻止这些高级威胁。