macOS 用起来也得“守规矩”，否则 Calisto 病毒就会趁虚而入

雷锋网消息，据外媒7月21日报道，卡巴斯基实验室的安全专家最近揪出了名为 Calisto 的恶意病毒，这家伙居然是 macOS 上臭名昭著的 Proton 病毒的前身。

卡巴斯基在分析报告中写道，2016 年被创造出来后，该病毒就被上传到了 VirusTotal、不过整整两年后的 5 月份，Calisto 依然藏在反病毒解决方案的盲区中，最近才有人真正重视这个问题。

“从理论上来讲，这个 Calisto 后门可能是 Backdoor.OSX.Proton 病毒家族的成员。” 卡巴斯基的专家解释道。不过，Calisto 使用的恶意代码开发于 2016 年，而 Proton 则是 2017 年才进入安全专家的视野。

专家指出，Calisto 其实 2016 年就被上传 VirusTotal，但直到今年卡巴斯基都不知道这一威胁是如何“繁殖”起来的，意识到这一点后它们迅速发现，一些 Calisto 携带的功能现在还处在无人监管的情况下。

据悉，Calisto 的安装文件是一个未签名的 DMG 图片，不过它却用 Intego 安全解决方案（Mac 版）做了伪装。同时，卡巴斯基还注意到，虽然与 Proton 同根同源，但 Proton 的一些功能并没有出现在 Calisto 中。

Proton 的真面目去年 3 月份才大白于天下，制造这一麻烦的黑客居然在地下黑客论坛公然兜售这一病毒，整个项目价格在 1200-830000 美元不等。

几周之后，Proton 就首次参与到了黑客攻击中去，罪犯们黑掉了 HandBrake 应用的网站并将病毒植入了这款应用。2017 年 10 月，又有人将 Proton RAT 植入了合法应用，如 Elmedia Player 和下载管理器 Folx。无论是 Proton RAT 还是 Calisto 均为远程访问特洛伊木马（RAT），一旦被感染，黑客就能取得系统的控制权。

雷锋网了解到，如果 Mac 被 Calisto 感染，黑客就能轻松远程实现下列功能：

1. 进行远程登录

2. 分享屏幕

3. 为用户设定远程登录许可

4. 在 macOS 下创立隐藏的“根”账户，并专门为特洛伊代码设立密码

专家对其进行静态分析后还发现了另外几个尚未完成的功能，比如：

1. 为 USB 设备加载或卸载 Kernel 拓展

2. 从用户公司名录盗取数据

3. 与操作系统“同归于尽”

安全专家指出，Calisto 其实在苹果推出 SIP（系统完整性保护）安全机制前就开始研发了，因此它无法绕过 SIP。

“Calisto 在装有 SIP 的电脑上会‘束手束脚’，这套安全机制随 OS X El Capitan 诞生。有了 SIP，苹果就能防止关键的系统文件被更改，即使有根权限的用户也无能为力。”研究人员解释道。“Calisto 的开发时间可能在 2016 年或更早，而且其创造者当时没考虑到 SIP 这项新技术的威力。不过，许多用户还是因为各种各样的原因关掉了 SIP，给黑客以可乘之机。”

也就是说，只要你“乖乖听话”，打开苹果推荐的下列几项安全机制，最新的 macOS 是不可能被 Calisto、Proton 和类似的威胁攻破的。

1. 及时将操作系统升级至最新版本

2. 永远不要关掉 SIP

3. 只运行从可信商店下载的签名软件，如 App Store

4. 打开杀毒软件

最后，安全专家还透露称，Calisto 病毒其实已经被原作者抛弃了。

雷锋网Via.Security Affairs