Etlichen Mac-Anwendern dürfte das Programm KnockKnock des Sicherheitsforschers Patrick Wardle ein Begriff sein. KnockKnock überprüft im Rahmen eines manuellen Scans verschiedene Verzeichnisse innerhalb von macOS, in denen möglicherweise Malware persistent installiert ist. Noch einen Schritt weiter geht BlockBlock, das ebenfalls von Wardle bereitgestellt wird und in dieser Woche aktualisiert wurde.

Wardle über KnockKnock: "Malware installiert sich dauerhaft, um sicherzustellen, dass sie bei jedem Neustart eines Computers automatisch ausgeführt wird. KnockKnock deckt dauerhaft installierte Software auf, um diese Malware generisch aufzudecken. [...] KnockKnock überprüft bekannte Standorte, an denen möglicherweise dauerhafte Software oder Malware installiert ist. Es listet einfach nur dauerhaft installierte Software auf. Obwohl signierte Apple-Binärdateien ausgefiltert werden, wird wahrscheinlich legitime Drittanbieter-Software angezeigt."

Während KnockKnock manuell vom Anwender gestartet werden muss, übernimmt BlockBlock die Überwachung im Hintergrund. "BlockBlock überwacht gängige Speicherorte und warnt, wenn eine persistente Komponente hinzugefügt wird", so Wardle. Für die Überwachung setzt BlockBlock auf Apples Endpoint Security Framework.

 

Nun ist BlockBlock in der Version 2.5 erschienen. Der Autor über das Update: "BlockBlock v2.5.0 bietet eine neue Funktion, die Sie benachrichtigt, sobald ein heruntergeladenes Skript ausgeführt werden soll. Diese Funktion wurde als Ergänzung zum 'Notarization'-Modus entwickelt und bietet einen zusätzlichen Schutz vor potenziell gefährlichen Inhalten, bevor diese ausgeführt werden." Details zu den weiteren Änderungen sind in den Versionsanmerkungen zu finden.

Seit kurzem warnt das Programm auch bei sogenannten "ClickFix"-Attacken. Wardle erläutert sie in seinem Blog im Detail: "ClickFix hat sich schnell zu einer weit verbreiteten Infektionstechnik entwickelt, die sowohl macOS- als auch Windows-Benutzer ins Visier nimmt. Anstatt sich auf Software-Schwachstellen oder Exploit-Ketten zu stützen, nutzt sie etwas viel Einfacheres: Sie überzeugt einen Benutzer davon, einen Befehl zu kopieren und in ein Terminal einzufügen." Apple hat vor diesem Hintergrund mit macOS 26.4 eine Warnmeldung hinzugefügt, wenn Daten aus einer anderen App in das Terminal kopiert werden.

BlockBlock läuft ab macOS Catalina 10.15 und liegt auf Englisch vor. Sowohl BlockBlock als auch KnockKnock bieten sich als Ergänzung zu dem in macOS integrierten Malware-Schutz XProtect an. Anwender können sich dabei entscheiden, ob sie den Malware-Scan manuell durchführen (KnockKnock) oder automatisch im Hintergrund laufen lassen möchten (BlockBlock). Beide Programme gleichen Treffer auf Wunsch mit der VirusTotal-Datenbank von Google ab.

Beide Anwendungen sind quelloffen, d. h. der Quellcode ist öffentlich einsehbar und via GitHub können Problemberichte und Verbesserungsvorschläge beim Entwickler eingereicht werden.