Annonce sur le blog du développeur 0xv1n (02/03/2026) présentant MacNoise, un outil open source visant à tester la visibilité et la détection des solutions de sécurité sur macOS.
MacNoise est un générateur modulaire de bruit de télémétrie macOS conçu pour l’EDR testing et la recherche sécurité. Il génère de vrais événements système (connexions réseau, écritures de fichiers, créations de processus, mutations de plist, sondages de permissions TCC, etc.) afin de vérifier que l’EDR, le SIEM et les pare-feux capturent bien les signaux attendus.
Le projet répond à un problème courant côté défense : la méconnaissance des lacunes de journalisation (process creation, DNS, lignes de commande, etc.), parfois due à une dépendance excessive à l’EDR ou à des niveaux de logs insuffisants. Né d’un double objectif (apprentissage d’un nouveau langage et exploration au-delà des outils Windows), il complète/étend l’esprit d’EDR-Telemetry et met l’accent sur la télémétrie spécifique à macOS souvent négligée.
Côté architecture et exécution, MacNoise est extensible par modules, propose un binaire cross‑platform avec REPL et des commandes comme: macnoise run, macnoise list, macnoise info, macnoise scenario, macnoise categories. Il inclut un mode dry-run pour prévisualiser les actions et un audit logging structuré. Deux flux sont produits en format OCSF JSONL: 1) des Telemetry events (ce que voient EDR/SIEM/pare-feu) et 2) des Audit records (modules exécutés, prérequis, minutage, résultats de nettoyage, mappages MITRE), activables via --audit-log et combinables avec --dry-run.
Le module de Scénarios permet d’émuler des séquences d’activité type malware/APT pour révéler des trous de couverture. Le dépôt propose des exemples YAML illustrant des étapes telles que proc_spawn, proc_inject, proc_signal, net_connect, net_dns, file_create, svc_launch_agent, tcc_fda, tcc_contacts. Les correlation IDs facilitent la validation dans le SIEM. Les scénarios peuvent être générés à partir de rapports de menace avec l’aide de LLMs guidés par la documentation « AI Guidance » du repo. Le projet invite aux contributions et au partage de scénarios. 🎯
TTPs (démontrés par les modules et scénarios):
- Création/Exécution de processus (proc_spawn), injection de processus (proc_inject), envoi de signaux (proc_signal)
- Connexions réseau (net_connect) et requêtes DNS (net_dns)
- Écriture/Création de fichiers (file_create), persistance via LaunchAgents (svc_launch_agent)
- Probing des permissions TCC (tcc_fda, tcc_contacts)
IOCs (exemples présents dans le scénario d’exemple, à visée de test uniquement):
- Hôtes/DNS:
127.0.0.1, domaines:example.com,pastebin.com,raw.githubusercontent.com - Ports:
4444 - Fichiers/chemins:
/tmp/macnoise_inject.dylib,/usr/bin/true,/tmp/macnoise_edr
Type d’article: Annonce de nouvel outil open source visant la validation de détection et l’audit de télémétrie sur macOS.
🔗 Source originale : https://0xv1n.github.io/posts/macnoise/