Sto studiando lo stato del mio MacBook Pro che so essere stato compromesso e non so se ho rimosso completamente gli exploit (e mi rendo conto che tecnicamente non lo saprà mai). Sto cercando di perfezionare exploit specifici, non aspettandomi di dimostrare che non esistono, ma in ogni caso posso provare che lo fanno, che può aiutarmi a decidere su varie linee d'azione, dalla riparazione di base alla sostituzione dell'intero sistema nel più estremo.
Alla ricerca di risposte più brevi, ecco alcune domande iniziali che ho:
-
Quali sono i vettori comuni per l'installazione dei rootkit? (E se ho capito bene, questo includerebbe MBR e BIOS? Quindi la stessa domanda per ciascuno.)
-
Quanto sono comuni i rootkit che sopravvivono alla reinstallazione del sistema operativo (e sono limitati al BIOS, oppure le infezioni da MBR possono raggiungere questo obiettivo?)
-
Quanto sono comuni le infezioni da chiave USB? So che molte agenzie governative hanno avuto politiche per alcuni anni per non permettere ai dipendenti di usare persino le chiavi USB sulle loro macchine, ma queste sono impostazioni di massima sicurezza.
-
Se c'è una preoccupazione per gli attacchi sconosciuti agli strumenti AV commerciali, gli strumenti commerciali potrebbero comunque essere utili per rilevare un rootkit da una nuova installazione del sistema operativo? Per esempio. rilevamento del traffico di rete inaspettato durante il tentativo di download di malware aggiuntivo?
-
Su una macchina precedentemente compromessa, c'è davvero qualche speranza di rilevare un keylogger? Non sospetto (a meno che non sia un keylogger scritto male, o già noto al software AV.)
Su tutti questi, posso pubblicare singole domande per maggiori dettagli; Sto solo cercando di capire quali cose esplorare prima, e quali sono vicoli ciechi.