QuickTimer: XProtect

ラベル XProtect の投稿を表示しています。すべての投稿を表示

20260331

XProtectアップデート　 XProtectPlistConfigData_10_15-5336

XProtectアップデート　 XProtectPlistConfigData_10_15-5334

XProtectアップデート 5333

サンプルソース（参考）
行番号	ソース
001	#!/bin/zsh --no-rcs
002	#set -x
003	#export PATH=/usr/bin:/bin:/usr/sbin:/sbin
004	#com.cocolog-nifty.quicktimer.icefloe
005	#################################################
006
007	Last login: Wed Mar 11 12:29:54 on ttys000
008	zsh $
009	zsh $
010	zsh $
011	OSver: 26.3
012	CUPS: 2.3.4
013	iCloud XProtect: /private/var/protected/xprotect
014	In var XProtect.bundle Ver: 5333
015	Legacy XProtect: /Library/Apple/System/Library/CoreServices
016	In Library XProtect.bundle Ver: 5332
017	XProtect.app: 157
018	XProtectPluginService.xpc: 74
019	MRT.app: 1.93
020	AppleKextExcludeList.kext: 21.0.0
021	/usr/bin/sudo /usr/bin/xprotect check
022	Current update: date: 2026-03-10 23:10:48 +0000 version: 5333
023	/usr/bin/xprotect version
024	Version: 5333 Installed: 2026-03-11 03:19:31 +0000
025	/usr/bin/sudo /usr/bin/xprotect update
026	Starting update.
027	No update applied, already up to date
028	/usr/bin/sudo /usr/bin/xprotect check
029	Current update: date: 2026-03-10 23:10:48 +0000 version: 5333
030	/usr/bin/xprotect version
031	Version: 5333 Installed: 2026-03-11 03:19:31 +0000
032	/usr/bin/xprotect status
033	XProtect launch scans: enabled
034	XProtect background scans: enabled
035	/usr/sbin/softwareupdate --list --recommended --include-config-data
036	2026-03-11T03:30:12Z
037	Software Update Tool
038
039	Finding available software
040	Software Update found the following new or updated software:
041	* Label: XProtectPlistConfigData_10_15-5333
042	Title: XProtectPlistConfigData, Version: 5333, Size: 1250KiB, Recommended: YES,
043	2026-03-11T03:30:18Z
044	/usr/sbin/softwareupdate --download --recommended --include-config-data
045	2026-03-11T03:30:18Z
046	Software Update Tool
047
048	Finding available software
049
050	Downloading XProtectPlistConfigData
051	Downloaded XProtectPlistConfigData
052	Done.
053	2026-03-11T03:30:27Z
054	softwareupdateを実行します、最大２時間かかるケースもあります
055	softwareupdate開始: 2026年 3月11日水曜日 12時30分27秒 JST
056	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
057	Software Update Tool
058
059	Finding available software
060
061	Downloaded XProtectPlistConfigData
062	Installing XProtectPlistConfigData
063	Done with XProtectPlistConfigData
064	Done.
065	softwareupdate終了: 2026年 3月11日水曜日 12時30分37秒 JST
066
067	スキャン開始します　少し時間がかかります(約１０分)
068	スキャン開始: 2026年 3月11日水曜日 12時30分37秒 JST
069	/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtect
070	スキャン終了しました
071	スキャン終了: 2026年 3月11日水曜日 12時39分57秒 JST
072	Starting update.
073	No update applied, already up to date
074	In var XProtect.bundle Ver: 5333
075	In Library XProtect.bundle Ver: 5333
076	XprotectAppVer: 157
077	XPC: 74
078	MRT: 1.93
079	AppleKextExcludeList: 21.0.0
080	zsh $
081	zsh $
082	zsh $
AppleScriptで生成しました

20260304

XProtectアップデート 5332

サンプルソース（参考）
行番号	ソース
001	#!/bin/zsh --no-rcs
002	#set -x
003	#export PATH=/usr/bin:/bin:/usr/sbin:/sbin
004	#com.cocolog-nifty.quicktimer.icefloe
005	#################################################
006
007
008	zsh $
009	zsh $
010	zsh $ /usr/sbin/softwareupdate --list --include-config-data
011	Software Update Tool
012
013	Finding available software
014	Software Update found the following new or updated software:
015	* Label: XProtectPlistConfigData_10_15-5332
016	Title: XProtectPlistConfigData, Version: 5332, Size: 1250KiB, Recommended: YES,
017	zsh $
018
019
020
021	zsh $
022	zsh $
023	zsh $ /bin/date; /usr/sbin/softwareupdate --install --recommended --include-config-data; /bin/date
024	2026年 3月 5日木曜日 13時20分15秒 JST
025	Software Update Tool
026
027	Finding available software
028
029	Downloading XProtectPlistConfigData
030	Downloaded XProtectPlistConfigData
031	Installing XProtectPlistConfigData
032	Done with XProtectPlistConfigData
033	Done.
034	2026年 3月 5日木曜日 13時20分24秒 JST
035	zsh $
036	zsh $
037	zsh $
AppleScriptで生成しました

20260217

これを書いている時点では
com.apple.SoftwareUpdateの設定で restrict-software-update-require-admin-to-installの設定をTRUEにしていると
/usr/sbin/softwareupdate --download
/usr/sbin/softwareupdate --install
の
コマンドは失敗する（ストールする）
"/Library/Preferences/com.apple.SoftwareUpdate.plist"
と
"/Library/Managed Preferences/com.apple.SoftwareUpdate.plist"
の
両方に設定があるが
設定値を変更してもMDMのロードが有効なようで
softwareupdateコマンドは失敗する

サンプルソース（参考）
行番号	ソース
001	アップデートは２系統
002	xprotectとsoftwareupdateです
003	まずは
004	xprotect
005	#アップデート前
006	#チェック
007	/usr/bin/sudo /usr/bin/xprotect check
008	#バージョン
009	/usr/bin/xprotect version
010	#アップデート
011	/usr/bin/sudo /usr/bin/xprotect update
012	#アップデート後
013	#チェック
014	/usr/bin/sudo /usr/bin/xprotect check
015	#バージョン
016	/usr/bin/xprotect version
017	#ステータス
018	/usr/bin/xprotect status
019
020	softwareupdateは
021	#リスト
022	/usr/sbin/softwareupdate --list --recommended --include-config-data
023	#ダウンロード
024	/usr/sbin/softwareupdate --download --recommended --include-config-data
025	#インストール
026	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
AppleScriptで生成しました

ログ

サンプルソース（参考）
行番号	ソース
001
002	OSver: 26.3
003	CUPS: 2.3.4
004	iCloud XProtect: /private/var/protected/xprotect
005	In var XProtect.bundle Ver: 5330
006	Legacy XProtect: /Library/Apple/System/Library/CoreServices
007	In Library XProtect.bundle Ver: 5329
008	XProtect.app: 156
009	XProtectPluginService.xpc: 74
010	MRT.app: 1.93
011	AppleKextExcludeList.kext: 21.0.0
012	/usr/bin/sudo /usr/bin/xprotect check
013	Current update: date: 2026-02-18 00:55:01 +0000 version: 5330
014	/usr/bin/xprotect version
015	Version: 5330 Installed: 2026-02-18 01:15:56 +0000
016	/usr/bin/sudo /usr/bin/xprotect update
017	Starting update.
018	No update applied, already up to date
019	/usr/bin/sudo /usr/bin/xprotect check
020	Current update: date: 2026-02-18 00:55:01 +0000 version: 5330
021	/usr/bin/xprotect version
022	Version: 5330 Installed: 2026-02-18 01:15:56 +0000
023	/usr/bin/xprotect status
024	XProtect launch scans: enabled
025	XProtect background scans: enabled
026	/usr/sbin/softwareupdate --list --recommended --include-config-data
027	2026-02-18T01:18:48Z
028	Software Update Tool
029
030	Finding available software
031	Software Update found the following new or updated software:
032	* Label: XProtectPlistConfigData_10_15-5330
033	Title: XProtectPlistConfigData, Version: 5330, Size: 1249KiB, Recommended: YES,
034	* Label: XProtectPayloads_10_15-157
035	Title: XProtectPayloads, Version: 157, Size: 23593KiB, Recommended: YES,
036	2026-02-18T01:18:54Z
037	/usr/sbin/softwareupdate --download --recommended --include-config-data
038	2026-02-18T01:18:54Z
039	Software Update Tool
040
041	Finding available software
042
043	Downloading XProtectPlistConfigData
044	Downloading XProtectPayloads
045	Downloaded XProtectPlistConfigData
046	Downloaded XProtectPayloads
047	Done.
048	2026-02-18T01:19:07Z
049	softwareupdateを実行します、最大２時間かかるケースもあります
050	softwareupdate開始: 2026年 2月18日水曜日 10時19分07秒 JST
051	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
052	Software Update Tool
053
054	Finding available software
055
056	Downloaded XProtectPlistConfigData
057	Downloaded XProtectPayloads
058	Installing XProtectPlistConfigData, XProtectPayloads
059	Done with XProtectPlistConfigData
060	Done with XProtectPayloads
061	Done.
062	softwareupdate終了: 2026年 2月18日水曜日 10時19分19秒 JST
063
064	スキャン開始します　少し時間がかかります(約１０分)
065	スキャン開始: 2026年 2月18日水曜日 10時19分20秒 JST
066	/Library/Apple/System/Library/CoreServices/XProtect.app/Contents/MacOS/XProtect
067	スキャン終了しました
068	スキャン終了: 2026年 2月18日水曜日 10時19分20秒 JST
069	Starting update.
070	No update applied, already up to date
071	In var XProtect.bundle Ver: 5330
072	In Library XProtect.bundle Ver: 5330
073	XprotectAppVer: 157
074	XPC: 74
075	MRT: 1.93
076	AppleKextExcludeList: 21.0.0
077	zsh $
AppleScriptで生成しました

XProtectアップデート　5329 ／ macOS26.3 アップデート

前回の5327から１つ飛ばして5329です
XProtect.bundleは２箇所にあります
通常系とiCloud系です
/Library/Apple/System/Library/CoreServices/XProtect.bundle
/private/var/protected/xprotect/XProtect.bundle

アップデートは２系統
xprotectとsoftwareupdateです
まずは
xprotect

サンプルソース（参考）
行番号	ソース
001	アップデートは２系統
002	xprotectとsoftwareupdateです
003	まずは
004	xprotect
005
006	#アップデート前
007	#チェック
008	/usr/bin/sudo /usr/bin/xprotect check
009	#バージョン
010	/usr/bin/xprotect version
011	#アップデート
012	/usr/bin/sudo /usr/bin/xprotect update
013
014	#アップデート後
015	#チェック
016	/usr/bin/sudo /usr/bin/xprotect check
017	#バージョン
018	/usr/bin/xprotect version
019	#ステータス
020	/usr/bin/xprotect status
AppleScriptで生成しました

softwareupdateは

サンプルソース（参考）
行番号	ソース
001	#リスト
002	/usr/sbin/softwareupdate --list --recommended --include-config-data
003	#ダウンロード
004	/usr/sbin/softwareupdate --download --recommended --include-config-data
005	#インストール
006	/usr/bin/sudo /usr/sbin/softwareupdate --install --recommended --include-config-data
AppleScriptで生成しました

ログ

サンプルソース（参考）
行番号	ソース
001	OSver: 26.2
002	CUPS: 2.3.4
003	iCloud XProtect: /private/var/protected/xprotect
004	In var XProtect.bundle Ver: 5327
005	Legacy XProtect: /Library/Apple/System/Library/CoreServices
006	In Library XProtect.bundle Ver: 5327
007	XProtect.app: 156
008	XProtectPluginService.xpc: 74
009	MRT.app: 1.93
010	AppleKextExcludeList.kext: 21.0.0
011	/usr/bin/sudo /usr/bin/xprotect check
012	Current update: date: 2026-02-10 19:18:34 +0000 version: 5329
013	/usr/bin/xprotect version
014	Version: 5327 Installed: 2026-02-04 04:01:39 +0000
015	/usr/bin/sudo /usr/bin/xprotect update
016	Starting update.
017	Update succeeded: Activated update CloudKitUpdate[v5329 - current @ 2026-02-10 19:18:34 +0000]
018	/usr/bin/sudo /usr/bin/xprotect check
019	Current update: date: 2026-02-10 19:18:34 +0000 version: 5329
020	/usr/bin/xprotect version
021	Version: 5329 Installed: 2026-02-11 02:21:53 +0000
022	/usr/bin/xprotect status
023	XProtect launch scans: enabled
024	XProtect background scans: enabled
025	/usr/sbin/softwareupdate --list --recommended --include-config-data
026	2026-02-11T02:21:53Z
027	Software Update Tool
028
029	Finding available software
030	Software Update found the following new or updated software:
031	* Label: XProtectPlistConfigData_10_15-5329
032	Title: XProtectPlistConfigData, Version: 5329, Size: 1249KiB, Recommended: YES,
033	2026-02-11T02:21:59Z
034	/usr/sbin/softwareupdate --download --recommended --include-config-data
035	2026-02-11T02:21:59Z
036	Software Update Tool
AppleScriptで生成しました

XProtectはマルウェアから、利用者を守ろうとする仕組みです
たとえば
ルールファイルがあります

サンプルソース（参考）
行番号	ソース
001	/private/var/protected/xprotect/XProtect.bundle/Contents/Resources/XPScripts.yr
002	/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XPScripts.yr
AppleScriptで生成しました

１MB以下のapplescriptでブラウザを全て参照して
クッキーを取得するような物はマルウェアって判定しています
署名のチェックはGateKeeper マルウェアはXProtectです

/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XPScripts.yr
を
テキストエディタで開いて確認するとどのような
AppleScriptを利用したマルウェアがあって何をしようとしているのか？
だいたいわかってくると思います

情報取得系とCURLを使った２次処理系に/LaunchDaemonsに登録するようなものが登録されていますが
思っていたほど数は多く無いです２０点に届かない程度の数です
もう少しあるような気もするけど、これだけ見ても、MacOSをターゲットにしたマルウェアは少ないと言って良いでしょう。
でも
『あるので』注意はやっぱり必要です

もう一つがyaraルール

サンプルソース（参考）
行番号	ソース
001	/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.yara
002	/private/var/protected/xprotect/XProtect.bundle/Contents/Resources/XProtect.yara
AppleScriptで生成しました

こちらは主に『バイナリー』の解析ものが多いですね
こちらは３００点ぐらい登録されています。

Gatekeeperの警告『開発元を識別できない…』を無視して
よくわからないバイナリーやアプリケーションを実行するのは
見知らぬ人に家の鍵を預けて、中身を自由に見てもいいよと言うのと同じになる『場合がある』わけで
その後で
Xprotectが内容を精査するけど
３００種類ぐらいのものなので全てに対応しているわけでもありません
普段からのセキュリティに対しての意識が大切ですね

macOS26.3直後のセキュリティアップデート

サンプルソース（参考）
行番号	ソース
001	zsh $
002	zsh $
003	zsh $ /bin/date;/usr/sbin/softwareupdate --list --recommended --include-config-data;/bin/date;
004	2026年 2月12日木曜日 17時58分02秒 JST
005	Software Update Tool
006
007	Finding available software
008
009	Software Update found the following new or updated software:
010	* Label: MRTConfigData_10_15-1.93
011	Title: MRTConfigData, Version: 1.93, Size: 4595KiB, Recommended: YES,
012	* Label: XProtectPlistConfigData_10_15-5329
013	Title: XProtectPlistConfigData, Version: 5329, Size: 1249KiB, Recommended: YES,
014	* Label: GatekeeperCompatibilityData-1.0
015	Title: Gatekeeper Compatibility Data, Version: 1.0, Size: 7108KiB, Recommended: YES,
016	* Label: XProtectPayloads_10_15-156
017	Title: XProtectPayloads, Version: 156, Size: 23594KiB, Recommended: YES,
018	2026年 2月12日木曜日 17時58分04秒 JST
019	zsh $
020	zsh $
021	zsh $
022	zsh $ /bin/date;/usr/sbin/softwareupdate --install --recommended --include-config-data;/bin/date;
023	2026年 2月12日木曜日 17時58分13秒 JST
024	Software Update Tool
025
026	Finding available software
027
028	Downloading XProtectPayloads
029	Downloading MRTConfigData
030	Downloading XProtectPlistConfigData
031	Downloading Gatekeeper Compatibility Data
032	Downloaded MRTConfigData
033	Downloaded XProtectPlistConfigData
034	Downloaded XProtectPayloads
035	Downloaded Gatekeeper Compatibility Data
036	Installing XProtectPayloads, MRTConfigData, XProtectPlistConfigData, Gatekeeper Compatibility Data
037	Done with XProtectPayloads
038	Done with MRTConfigData
039	Done with XProtectPlistConfigData
040	Done with Gatekeeper Compatibility Data
041	Done.
042	2026年 2月12日木曜日 17時58分35秒 JST
043	zsh $
044	zsh $
045	zsh $
AppleScriptで生成しました

QuickTimer

20260331

XProtectアップデート　 XProtectPlistConfigData_10_15-5336

XProtectアップデート　 XProtectPlistConfigData_10_15-5336

20260317

XProtectアップデート 5334

XProtectアップデート　 XProtectPlistConfigData_10_15-5334

20260310

XProtectアップデート 5333

20260304

XProtectアップデート 5332

20260217

XProtectアップデート　5330

XProtectアップデート　5329 ／ macOS26.3 アップデート

20260331

XProtectアップデート XProtectPlistConfigData_10_15-5336

XProtectアップデート XProtectPlistConfigData_10_15-5336

20260317

XProtectアップデート 5334

XProtectアップデート XProtectPlistConfigData_10_15-5334

20260310

XProtectアップデート 5333

20260304

XProtectアップデート 5332

20260217

XProtectアップデート 5330

XProtectアップデート 5329 ／ macOS26.3 アップデート

XProtectアップデート　 XProtectPlistConfigData_10_15-5336

XProtectアップデート　 XProtectPlistConfigData_10_15-5336

XProtectアップデート　 XProtectPlistConfigData_10_15-5334

XProtectアップデート　5330

XProtectアップデート　5329 ／ macOS26.3 アップデート