ova
Bloga dön
·10 dk okuma·productdevbook

Mac'inizde Şüpheli Ağ Etkinliği Nasıl Tespit Edilir

Mac'te tuhaf ağ etkinliğini erkenden nasıl yakalarsınız: araçlar, sinyaller ve gerçekten sorun anlamına gelen örüntüler.

  • Security
  • macOS
  • Network monitoring
  • Privacy

Saat 02'de fanınız çalışıyor. Bir arkadaş bankalarının olağandışı girişleri işaretlediğinden bahsediyor. Geliştirme ortam değişkenlerini sızdıran kötü amaçlı bir npm paketi hakkında bir konu okuyorsunuz. Birden Mac'inizden gelen her sinyal şüpheli hissediyor. Çoğu zaman değildir — macOS tasarım gereği konuşkandır — ancak normal arka plan gürültüsünden suspicious network activity mac kullanıcılarının gerçekten araştırması gereken şeyleri ayırt edebilmek değer veren bir beceridir. İşte sakin bir kontrol listesi, korku tellallığı yok.

Şu önyargıdan başlayın: sağlıklı bir Mac'te beklenmeyen trafiğin büyük çoğunluğu zararsızdır. iCloud, Time Machine, push bildirimleri, yazılım güncellemeleri, yüklediğiniz uygulamalardan telemetri — hepsi tuhaf saatlerde trafik üretir. Bu kontrol listesinin amacı, gerçekten ikinci bir bakışa değer küçük desen kümesini tanımaktır.

"Normal gürültü" nasıl görünür

Şüpheli bir sinyali tespit edebilmeden önce, güvendiğiniz bir Mac'te arka plan trafiğinin nasıl göründüğünü bilmeniz gerekir.

Apple sistem hizmetleri

Bunlar hemen tanımadığınız PID'ler altında görünür. Yaygın olanlar:

  • cloudd — iCloud senkronizasyonu (Photos, Drive, iCloud Keychain)
  • bird — yine iCloud (evet, iki arka plan programı)
  • apsd — Apple Push Notification servisi (her zaman açık, düşük oran)
  • nsurlsessiond — arka plan URLSession transferleri (App Store, OS güncellemeleri, ağ hedeflerine Time Machine)
  • softwareupdated — macOS güncelleme kontrolleri (ara sıra patlamalar)
  • gamed, imagent, identityservicesd — Game Center, iMessage, FaceTime varlığı
  • mDNSResponder — yerel Wi-Fi'da Bonjour keşfi (yalnızca yerel, internet değil)
  • syspolicyd, trustd — kod imzalama ve sertifika doğrulama (küçük, sık)
  • parsecd, Siri ailesi — Spotlight önerileri, Siri

Bayta göre sıralayıp yalnızca bu adları artı tarayıcınızı ve sohbet uygulamalarınızı görüyorsanız, Mac'iniz iyidir.

Üçüncü taraf "senkronizasyon" uygulamaları

"Dosyalar her yerde" vaat eden her şey sürekli çalışır:

  • Dropbox, Google Drive, OneDrive, Box
  • 1Password senkronizasyonu, Bitwarden
  • Notion, Obsidian Sync, Bear, Things
  • Spotify, Music (katalog güncellemeleri, senkronizasyon)
  • VPN istemcileri (TailscaleApp, NordVPN) — tünelleri canlı tutar

Trafikleri kararlı durumda küçüktür ve senkronize ettikleri bir şeyi değiştirdiğinizde patlar. Kararlı durum boştaki trafik normaldir.

Arka plandaki tarayıcılar

Chrome ve Safari uzantıların güncelleme sunucularına, senkronizasyon uç noktalarına ve unuttuğunuz herhangi bir sabitlenmiş sekmeye (bir Slack web sekmesi, bir takvim, bir YouTube Music sekmesi) bağlantıları açık tutar. Boştaki bir tarayıcı yine de bayt hareket ettirir.

suspicious network activity mac kullanıcılarının araştırması gereken işaretler

Şimdi gerçek şüpheli desenler. Yakından bakmayı hak edenler — panik değil, sadece bir bakış.

1. Bilinen bir süreçten bilinmeyen hedefler

Güvendiğiniz bir süreç (mesela IDE'niz veya geçen ay yüklediğiniz küçük bir yardımcı program) tanımadığınız bir IP alanına bağlanıyor. Kontrol etmeye değer. En basit araçlar:

  • lsof -i -P -n -p <PID> — o PID'in açık olan her bağlantı, uzak IP'ler ve portlarla
  • IP üzerinde whois veya ters DNS araması (dig -x <ip>)
  • IP için bir arama — meşru bulut uç noktalarının çoğu (AWS, GCP, Azure, Cloudflare) hemen aşikardır

Buradaki şüpheli demek: küçük bir yardımcı programın bir konut ISS IP alanına bağlanması, korsan bir uygulamanın tanımadığınız bir alana ulaşması, npm veya pip'ten bir CLI aracının amacına açık bir bağı olmayan bir sunucuyu pinglemesi.

2. Kendi makinenizden mesai dışı yüklemeler

Yüklemek için hiçbir nedeni olmayan bir uygulamadan saat 03'te kararlı yükleme — bu gerçek bir sinyaldir. Buna dikkat edin: meşru durumlar arasında bir ağ hedefine Time Machine, bir iPhone yedeklemesinden sonra yetişen fotoğraf senkronizasyonu ve büyük iCloud Drive senkronizasyonu vardır.

Ancak tanımadığınız bir uygulamaysa, bir saat boyunca sürdürülüyorsa, yüzlerce megabayt gönderiyorsa, siz uyurken — araştırın.

3. Olağandışı portlar

Çoğu modern uygulama 443 numaralı port üzerinden HTTPS veya 80 numaralı port üzerinden HTTP konuşur. Bazı meşru istisnalar: SSH (22), e-posta (25/465/587/993/995), DNS (53/853), veritabanı istemcileri (5432, 3306, 27017, 6379), oyun istemcileri (seçtikleri herhangi bir aralık), VPN'ler (1194, WireGuard için 51820), Tailscale (41641 UDP).

4444, 6667 (IRC) veya açık bir sebep olmadan rastgele yüksek portlara giden bir bakışa değer. Yalnızca standart olmayan bir portta konuşan ve hiçbir zaman 443 kullanmayan bir uygulama da öyledir.

4. Tek bir uygulamadan kalıcı yeniden bağlantılar

Bir süreç bir bağlantı açar, kapanır, başka bir tane açar, döngü birkaç saniyede bir tekrar eder. Yanlış yapılandırılmış bir VPN yeniden bağlanıyor olabilir. Renderer'ı bir döngüde çöken bir Electron uygulaması olabilir. Titrek bir proxy üzerinden eve telefon etmeye çalışan bir bilgi hırsızı olabilir.

Bağlantı oranı (süreç başına saniyede bağlantı), bayt oranından daha duyarlı bir sinyaldir.

5. Yüklemediğiniz yeni bir süreç

Bant genişliği listenizde hiç görmediğiniz bir adla görünüyor, /Applications'ta .app paketi yok, eklediğinizi hatırlamadığınız /tmp veya ~/Library/LaunchAgents içinde yürütülebilir. Bu kanonik kötü amaçlı yazılım şeklidir. Kontrol edin:

launchctl list | grep -v com.apple

…Apple'ın olmayan etkin launchd işlerini görmek için. Ve:

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

…kalıcılık dosyalarını görmek için. Çoğu giriş meşrudur (Dropbox, Spotify vb.), ancak tanımadığınız her şeyi araştırın.

6. Normalde sessiz olan bir süreçten ani artış

Spotlight (mds_stores) normalde ağ I/O yapmaz. Bir kod imzalama arka plan programı yükleme yapmamalıdır. Aniden kategorisinin dışında davranan meşru bir süreç bir sinyaldir — bazen davranışı değiştiren bir yazılım güncellemesinden, bazen başka bir şeyden.

Sakin bir kontrol listesi

Panik yapmadan önce bu listeyi çalıştırın. Yaklaşık on dakika sürer.

  1. Activity Monitor → Network sekmesini kontrol edin. Data Sent/sn ve Data Received/sn'ye göre sıralayın. İlk beşte tanımadığınız her şeyi not edin.
  2. Her bilinmeyen süreç için: sağ tıklayın → İncele → Açık Dosyalar ve Portlar. Hangi adreslerle konuşuyor? Paket yolu /Applications altında mı? ~/Library altında mı? /tmp altında mı?
  3. Paket kimliğine bakın. mdls -name kMDItemCFBundleIdentifier <path>. Onu arayın. Meşru uygulamalar net sonuçlar gösterir.
  4. launchd kalıcılığını kontrol edin. Yukarıda listelenen launchctl list | grep -v com.apple ve LaunchAgents/Daemons klasörleri.
  5. Süreç için birleştirilmiş günlüğü kontrol edin. log show --last 1h --predicate 'process == "Suspicious"' --info — ne yapıyordu?
  6. Yüklü uzantıları kontrol edin. Network Extensions için systemextensionsctl list. Yüklemediğiniz her şeyi araştırın.
  7. İtibarlı bir tarayıcı çalıştırın. Mac için Malwarebytes ve KnockKnock (Objective-See'den) ücretsizdir ve iyi tanınır. Yanılmaz değiller ama belirgin olanları yakalarlar.
  8. Hâlâ emin değilseniz, ekran görüntüsü alın ve sorun. Şüpheli sürecin İncele panelinin bir ekran görüntüsü ve launchctl listesinin bir yapıştırması, deneyimli birinin sınıflandırması için yeterlidir.

ova'yı eylemde görün

Bir bakışta görülebilir bir menü çubuğu bant genişliği izleyicisi — yerel, imzalanmış, ~3 MB.

Download for macOS

Pasif bir izleyici neden yardımcı olur

Şüpheli etkinliği araştırmanın en zor kısmı, gerçekleştiğinde orada olmaktır. Fanınız çalıştığında, suçlu süreç durmuş olabilir. Activity Monitor'u açtığınızda, artış geçmiş olabilir.

ova gibi bir menü çubuğu bant genişliği izleyicisi yardımcı olur çünkü pasif ve süreklidir. Yaklaşık 1 Hz'de örnekleme yapar ve geçmişi yerel olarak saklar, böylece sonunda fanı fark ettiğinizde, son birkaç saatte geri kaydırabilir ve o zamanki ağın tam olarak nasıl göründüğünü görebilirsiniz. Uygulama başına, yardımcı katlamalı, bir zaman çizelgesinde.

Bu, gerçek bir EDR aracını değiştirmez (ciddi tehdit modelleri için olanlar var), ancak kişisel kullanım için aradığınız sinyali görme şansınızı dramatik şekilde artırır.

Adli inceleme için uygulama başına geçmiş
ova yerel bir SQLite dosyasında uygulama başına bant genişliğinin kaydırılabilir bir zaman çizelgesini tutar. Bir şey yanlış görünürse, canlı yakalamaya çalışmak yerine geriye bakabilirsiniz.

Korkutucu görünen ama genellikle olmayan şeyler

"Bu şüpheli görünüyordu ama normal çıktı"nın kısa bir listesi:

  • Yeni bir Wi-Fi ağında mDNSResponder'dan bir patlama. Bonjour keşif. Normal.
  • identityservicesd Apple sunucularına bağlanıyor. iMessage / FaceTime varlığı. Normal.
  • apsd *.push.apple.com'a kalıcı bir bağlantı tutuyor. Push bildirimleri. Normal.
  • com.apple.geod ara sıra ulaşıyor. Maps ve konum hizmetleri. Normal.
  • triald, parsecd, searchpartyd. Apple araştırma / Spotlight / Find My. Normal.
  • softwareupdated etkinliğinden hemen sonra büyük bir indirme patlaması. macOS güncellemesi. Normal.
  • 17.x.x.x'e bir bağlantı. Bu Apple'ın IP aralığıdır. Normal.

Şüphede olduğunuzda, süreç adını artı "macOS" arayın — çoğu Apple arka plan programı iyi belgelenmiştir.

Gerçekten nadir olan

Kişisel olarak yönetilen bir Mac'te gerçek uzlaşma şu kullanıcılar için yaygın değildir:

  • App Store'a ve notarize edilmiş uygulamalara bağlı kalın
  • Korsan yazılım çalıştırmayın
  • Rastgele sitelerden okumadan kabuk komut dosyaları yapıştırmayın
  • macOS'u güncel tutun
  • Kritik hesaplarda parolaları yeniden kullanmayın

Bugünün en yaygın gerçek tehditleri "Mac virüsleri" değil, kırılmış uygulamalarla paketlenen hırsız kötü amaçlı yazılımları, geliştiricileri hedef alan kötü amaçlı npm/pip paketleri ve sizden bir curl-pipe-bash komutu çalıştırmanızı isteyen kimlik avı sayfalarıdır. Savunma her zaman olduğu gibi aynıdır: ne yüklediğinize dikkat edin, terminale ne yapıştırdığınıza dikkat edin.

Toparlarken

suspicious network activity mac kullanıcılarının gerçekten endişelenmesi gereken şey gerçektir ancak hissedildiğinden daha nadirdir. Açıklanmayan trafiğin çoğu iCloud, Apple Push, senkronizasyon uygulamaları veya unutulmuş bir tarayıcı sekmesidir. Araştırılmaya değer sinyaller, tanıdık süreçlerden bilinmeyen hedefler, yüklenmemesi gereken uygulamalardan mesai dışı yüklemeler, kalıcı yeniden bağlanmalar, olağandışı portlar ve launchd'de görünen tanıdık olmayan süreçlerdir. Yukarıdaki sakin kontrol listesi yaklaşık on dakika sürer ve çoğu durumu çözer.

Pasif, sürekli farkındalık için, böylece bir şey yanlış göründüğünde geri bakabilirsiniz, ova'yı yükleyin — yaklaşık 3 MB, macOS 14 ve sonrası, Apple Silicon ve Intel, kabaca 1 Hz'de örnekleme, tüm veriler diskte yerel kalır. Güvenlik duvarı değil, EDR değil — sadece uygulamalarınızın ne yaptığına dair net bir görünüm, ihtiyacınız olduğunda mevcut.