Mac OSX: qual è il modo più sicuro per accedere a una memoria USB sconosciuta?

14

Diciamo che un amico mi dà una scheda SD che non sono sicuro (potrebbe contenere malware), qual è il modo più sicuro per accedere a questa scheda su un Mac OSX? Per esempio. è possibile creare una sandbox in Finder?

So che alcuni di voi potrebbero dire: "Basta non accedervi". Ma supponiamo che questo sia uno scenario in cui devo accedervi.

    
posta Honey Badger 31.07.2014 - 18:27
fonte

2 risposte

6

Quindi hai un agente caldo e vuoi esaminarlo? Sarà divertente!

In primo luogo, non semplicemente collegalo e guardati intorno. Anche se si dovesse creare un finder 'sandbox', questo non ti proteggerà da potenziali malware. Quindi, come vedi effettivamente le merci? Bene, devi eseguire un esame forense! Ecco di cosa avrai bisogno:

  • Una Virtual Machine è fondamentale per non infettare il tuo computer. Assicurati di configurarlo in modo che la VM non abbia accesso alla rete.
  • Un imager forense. Uso elica o autopsia suite. FTK imager funziona bene se hai una Windows VM.
  • A Write Blocker per proteggere l'integrità del dispositivo USB essere esaminati Ciò significa impedire che tutte le operazioni di scrittura vengano trasferite alla memoria di destinazione. Ciò mantiene una registrazione incontaminata del target, ma impedisce anche che alcuni tipi di malware si alterino sulla USB di destinazione. Personalmente dico di usare un blocker di scrittura hardware perché sono più affidabili (basta andare su Amazon e trovarne uno).

Configura la tua VM con preferibilmente una distro linux (come l'elica). Ora basta semplicemente attaccare il blocco di scrittura al PC e configurarlo. Apri il tuo programma imager e finalmente inserisci la tua chiavetta USB.

Ora acquisisci un'immagine forense di questa unità, direttamente nella RAM (se ne hai la capacità) o su un'altra unità (non OS). Potrebbe volerci un po 'di tempo a seconda di quanto è grande l'obiettivo. Una volta ottenuta l'immagine, puoi guardarla attraverso in qualsiasi modo usando lo stesso programma di imager (FTK lo rende semplicissimo).

L'intero concetto è chiamato risposta agli incidenti e SANS ha molti buoni documenti su cosa fare. Eccone uno . Inoltre, ho utilizzato questo libro per imparare molto sulla medicina legale. Conosco un ragazzo che prende il suo CISSP e lo ha anche appena finito, quindi è ancora rilevante.

Buona fortuna e buon divertimento!

In risposta al tuo commento, il malware può effettivamente diffondersi senza che tu lo sappia dopo aver collegato un dispositivo infetto. Il modo migliore per proteggersi è quello di eseguire l'esame in una VM con un sistema operativo diverso rispetto all'obiettivo. Il diverso sistema operativo aiuta a impedire l'esecuzione del malware e la VM agisce come controllo del danno qualora il malware dovesse scoppiare e funzionare comunque.

Il modo più semplice e facile con cui il malware può diffondersi in questo modo è la funzione "autoplay", ma se si considera effettivamente ciò che accade dietro quella funzionalità si può vedere che ci sono alcune cose da quel supporto esterno che viene caricato nella RAM e scritti sull'hard disk del tuo PC (sotto forma di metadati / log / etc). Tutto * che un utente malintenzionato deve fare è sfruttare quel vettore di minacce. * comunque non è un'impresa da poco:)

Tuttavia non è solo buio e rovina. Tutto ciò che devi fare è lanciare una VM configurata correttamente e hai praticamente fermato il 99,99% di quella particolare minaccia.

    
risposta data 31.07.2014 - 19:27
fonte
1

Dato che hai a che fare con materiale pericoloso, inizierei eseguendo questo processo su un sistema dedicato per questo tipo di indagine:

  • scollegato da qualsiasi connessione di rete (MacOS X in configurazione di rete isolata: l'equivalente della modalità aereo su un iPhone),

  • un sistema completamente cancellabile in caso di prove malware che non è possibile cancellare completamente.

Su MacOS X, questo compito di sandboxing e analisi di un USB esterno sospetto è fondamentalmente un processo in 2 fasi.

Montare questa chiave USB in sola lettura

Leggi questa risposta: Come posso proteggere da scrittura (rendere di sola lettura) un'unità USB in OS X? su Chiedi a Different che è, dalla mia esperienza la migliore risposta.

Questo proteggerà la prova dall'essere corrotta da qualsiasi demone MacOS X ( mdworker , Spotlight ...) un errore umano o qualsiasi strumento forense. Questo non proteggerà MacOS X che è ancora su un filesystem in lettura-scrittura.

Esegui clamscan e chkrootkit

Se la tua memoria USB è ora montata sotto /Volumes/suspicious_SD , e hai MacPorts , clamav & chkrootkit installato, eseguire:

/usr/bin/sudo /opt/local/bin/clamscan -r /Volumes/suspicious_SD
/usr/bin/sudo /opt/local/bin/chkrootkit -r /Volumes/suspicious_SD

Questi sono solo due strumenti di base per rilevare i malware noti al pubblico. Questo non costituisce una vera analisi forense che dovrebbe partire da lì, basata su strumenti come: find , tcpdump , opensnoop ...

    
risposta data 31.07.2014 - 23:30
fonte

Leggi altre domande sui tag