LIXXblog

macOS / MacOS X  -   Michael Kaufmann  -   13.02.2018  -   Tags: macOS, Advanced Mac Cleaner


Advanced Mac Cleaner ist eine Schadsoftware(Ransomware), die sich auf macOS Rechnern tief ins System einnistet, mit dem Ziel, vom Anwender Geld zu erpressen. Dabei wird vorgegeben, dass mithilfe dieses Tools Beschädigungen und Viren behoben/beseitigt werden. Tatsächlich werden diese Beschädigungen des Betriebssystems nur glaubhaft visualisiert, vergleichbar mit einer Placebo-Software.

Um das einfache Entfernen der Software durch einen Nicht-Administrator zu erschweren, besteht die Ransomware aus verteilten Elementen, die sich selbst reparieren können. Um Advanced Mac Cleaner dauerhaft vom System entfernen zu können, müssen alle Einzelkomponenten entfernt werden.

Folgende Verzeichnisse sind hierbei zu prüfen:

/Volumes/Macintosh HD/Applications

~/Library/Advanced Mac Cleaner

~/Library/Application Support/amc

Für das Self Repair ist ein Deamon "helperamc" zuständig, der per launchctl beim Start des Macs geladen wird und alle Komponten und die AMC-Application selbst prüft.

Wie löscht man nur die Advanced Mac Cleaner Ransomware erfolgreich?

Zuerst sollte man dem Mac den Zugriff aufs Internet sperren, um ein Nachladen(Self Repair) von Komponenten zu verhindern. Danach alle o.g. Verzeichnisse löschen und den Papierkorb entleeren. Über die "Aktivitätsanzeige" bzw. "Activity Monitor" ist der Deamon "helperamc" sofort zu beenden. Anschließend muß launchctrl von Einträgen des Deamons befreit werden.

Dies geschieht über:

launchctl unload ~/Library/LaunchAgents/com.pcv.hlpramcn.plist

rm ~/Library/Application\ Support/amc/helperamc.app

Nach einem Neustart und der Aktivierung des Internets sollte der Mac wieder ganz normal funktionieren und leidige Fenster des Advanced Mac Cleaner nicht mehr auftauchen.

Sollten Sie Probleme bei der Entfernung dieses Schädlings haben, vereinbaren Sie gern unter Telefon 0341-8607136 einen Termin mit einem unserer Techniker.

weiterlesen...
macOS / MacOS X  -   Michael Kaufmann  -   08.02.2018  -   Tags: macOS, 10.12.x, High Sierra Update Notifier


Im professionellen Umfeld werden macOS Clientsysteme bewußt auf einem homogen Betriebssystemstand gehalten und Updates bzw. Software per Softwareverteilung(Digital Software Management) bzw. Remote Management verteilt.

Nicht immer ist diese passive Haltung der IT-Abteilung bei Herstellern gewünscht, soll der Anwender doch möglichst alle Cloud-Dienste des Herstellers benutzen können.

Ein Wechsel der Systemumgebung birgt allerdings gerade beim Wechsel von 10.12.x auf 10.13.x Gefahren. Das Dateisystem der Clients migriert von HFS+ auf APFS, Inkompatibilitäten lizensierter Software sind zu erwarten.

Apple penetriert den Anwender am Client leider in regelmäßigen Abständen zu einem kostenlosen Upgrade auf 10.13.x welches auch nicht abgebrochen, sondern nur bestätigt werden kann. Spätestens dann sollte der Mechanismus greifen, das ein normaler Anwender keine Administrationsrechte eingeräumt bekommen hat.

Leider wird das Informationsfenster weiterhin angezeigt und versperrt wichtige Bereiche des Desktops. Um diese regelmäßige Penetrierung loszuwerden muß im Terminal das entsprechende Skript an einen anderen Ort verschoben werden. Dies erledigt man am Besten mit einem:

sudo mv /Library/Bundles/OSXNotification.bundle /Volumes/Macintosh\ HD/Installation/

weiterlesen...
macOS / MacOS X  -   Michael Kaufmann  -   28.01.2018  -   Tags: macOS, AD, Active Directory, OD, Open Directory, Login Window Notifications, Notifications


Werden Apple Macintosh Rechner in einem Netzwerk an eine Open Directory oder Active Directory unter Microsoft Windows Server 2012 -2016 angebunden, greifen auch deren Sicherheitsregularien. Eine davon ist die Notwendigkeit eines regelmäßigen Paßwortwechsels seitens des Anwenders. Dafür erhält der Anwender nach Eingabe des Paßwortes an der Loginmaske eine Login Window Notification, die u.a. einen Begrüßungstext oder die Erinnerung zum Paßwortwechsel in X Tagen enthält.

Bis macOS 10.8.x betrug der im macOS Betriebssystem eingestellte Zeitintervall 14 Tage. Heißt, 14 Tage vor Ablauf erhält der Anwender den Reminder zum baldigen Wechsel des Paßwortes. Seit macOS 10.9.x ist dieser Intervall per default auf 30 Tage eingestellt.

Ist die Aufgabe nun, diesen Zeitintervall zu verkürzen, gibt es hier viele Angriffspunkte, die aber in Nicht-Windows-Umgebung nicht greifen.

Ab Windows Server 2012 ist es möglich, einer Active Directory eine Default Domain Policy mitzugeben und darin den Hinweisintervall festzulegen. Alternativ ließ sich schon immer per Gruppenrichtlinie(Group Policy) ein individueller Erinnerungsintervall auf Windows Clients ausrollen. Leider funktionieren beide Methoden, die Default Domain Policy sowie die Group Policy nicht mit Nicht-Windows Clients, also Linux oder macOS Clients.

Für macOS gibt es eine Voreinstellungsdatei unter /Library/Preferences/com.apple.loginwindow.plist die per default keinen Eintrag bzgl. PasswortExpiration enthält. Scheinbar ist diese default Einstellung im System hardcodiert.

Mit einem:

sudo defaults write /Library/Preferences/com.apple.loginwindow.plist PasswordExpirationDays 14

läßt sich ein individueller Wert hinzufügen, der dann augenscheinlich den Standardwert überschreibt.

Alternativ zu 14 kann ein beliebiger Integer-Wert angegeben werden.

Diese Erweiterung der loginwindow.plist kann nun - am Besten mit Apple Remote Desktop - an alle im Netzwerk befindlichen macOS Clients verteilt werden. Nach einem Neustart greift das Überschreiben der Richtlinie mit einem individuellen Wert.

weiterlesen...