Aanvallers maken gebruik van Apple Remote Desktop (ARD) om zich lateraal door organisaties te bewegen die van Macs gebruikmaken, zo waarschuwt securitybedrijf FireEye. Binnen organisaties waar er met ARD wordt gewerkt zijn er clients en een beheerder. De beheerdersapplicatie moet via de macOS App Store worden gedownload, maar de clientapplicatie is standaard onderdeel van macOS.

FireEye zegt aanvallers te hebben gezien die de schermdelingsfunctie van ARD gebruiken om zich lateraal tussen systemen te bewegen. Via deze functie kan er toegang tot remote Macs worden verkregen. Wanneer Remote Desktop niet staat ingeschakeld maken de aanvallers via SSH verbinding met het systeem en voeren vervolgens een kickstart-commando uit om de Remote Desktop in te schakelen.

Met kickstart is het mogelijk om Apple Remote Desktop-commando's uit te voeren zonder de externe computer te herstarten. Eén van de commando's maakt het mogelijk om Remote Desktop-deling in te schakelen. Vervolgens is het systeem via Remote Desktop benaderbaar. Een aanvaller met ARD-beheerdersrechten kan bestanden stelen en allerlei code uitvoeren.

Om verdacht ARD-gedrag te detecteren krijgen organisaties het advies om op ongewone aanpassingen van het bestand RemoteManagement.launchd te monitoren. Zo is het mogelijk om het inschakelen van Remote Desktop op systemen waar ARD niet wordt gebruikt te detecteren. Ook het monitoren van de Unified Logs op onverwachte kickstart-commando's kan verdacht ARD-gebruik aan het licht brengen.

"ARD is een uitstekend voorbeeld van hoe remote beheertools een aanvalsoppervlak bieden dat kan worden misbruikt, maar tegelijkertijd een grote hoeveelheid informatie bieden om verdachte activiteit te detecteren, allemaal vanaf een enkel systeem", zegt onderzoeker Jake Nicastro.