Domande sugli exploit comuni

1

Sto studiando lo stato del mio MacBook Pro che so essere stato compromesso e non so se ho rimosso completamente gli exploit (e mi rendo conto che tecnicamente non lo saprà mai). Sto cercando di perfezionare exploit specifici, non aspettandomi di dimostrare che non esistono, ma in ogni caso posso provare che lo fanno, che può aiutarmi a decidere su varie linee d'azione, dalla riparazione di base alla sostituzione dell'intero sistema nel più estremo.

Alla ricerca di risposte più brevi, ecco alcune domande iniziali che ho:

  • Quali sono i vettori comuni per l'installazione dei rootkit? (E se ho capito bene, questo includerebbe MBR e BIOS? Quindi la stessa domanda per ciascuno.)

  • Quanto sono comuni i rootkit che sopravvivono alla reinstallazione del sistema operativo (e sono limitati al BIOS, oppure le infezioni da MBR possono raggiungere questo obiettivo?)

  • Quanto sono comuni le infezioni da chiave USB? So che molte agenzie governative hanno avuto politiche per alcuni anni per non permettere ai dipendenti di usare persino le chiavi USB sulle loro macchine, ma queste sono impostazioni di massima sicurezza.

  • Se c'è una preoccupazione per gli attacchi sconosciuti agli strumenti AV commerciali, gli strumenti commerciali potrebbero comunque essere utili per rilevare un rootkit da una nuova installazione del sistema operativo? Per esempio. rilevamento del traffico di rete inaspettato durante il tentativo di download di malware aggiuntivo?

  • Su una macchina precedentemente compromessa, c'è davvero qualche speranza di rilevare un keylogger? Non sospetto (a meno che non sia un keylogger scritto male, o già noto al software AV.)

Su tutti questi, posso pubblicare singole domande per maggiori dettagli; Sto solo cercando di capire quali cose esplorare prima, e quali sono vicoli ciechi.

    
posta Jason Boyd 25.07.2014 - 17:11
fonte

1 risposta

1
  • Quali sono i vettori comuni per l'installazione dei rootkit? (E se ho capito bene, questo includerebbe MBR e BIOS? Quindi la stessa domanda per ciascuno.)

Principalmente agganciando le chiamate di sistema. Ti suggerisco di leggere un libro su questo perché non posso coprire tutto qui. Suggerisco: analisi pratiche del malware e arsenale rootkit

  • Quanto sono comuni i rootkit che sopravvivono alla reinstallazione del sistema operativo (e sono limitati al BIOS, oppure le infezioni da MBR possono raggiungere questo obiettivo?)

Dipende dal rootkit. Leggi l'arsenale di rootkit per i dettagli

  • Quanto sono comuni le infezioni da chiave USB? So che molte agenzie governative hanno adottato politiche da alcuni anni per non consentire ai dipendenti di utilizzare anche le chiavi USB sulle loro macchine, ma queste sono impostazioni di massima sicurezza.

Non tutti i rootkit vengono consegnati tramite USB. Alcuni possono usare i tuoi allegati e-mail, vulnerabilità 0day nei tuoi browser, ecc.

  • Se esiste una preoccupazione per gli attacchi sconosciuti agli strumenti AV commerciali, gli strumenti commerciali potrebbero comunque essere utili per rilevare un rootkit da una nuova installazione del sistema operativo? Per esempio. rilevamento del traffico di rete inaspettato durante il tentativo di download di malware aggiuntivo?

Sono chiamati exploit / vulnerabilità 0days. Gli ingegneri della sicurezza stanno lavorando per individuare quelli che usano una tecnica chiamata analisi del malware comportamentale. È un gioco di topo-gatto.

  • Su una macchina precedentemente compromessa, c'è davvero qualche speranza di rilevare un keylogger? Non sospetto (a meno che non sia un keylogger scritto male, o già noto al software AV.)

Un vero hacker (non gli script kiddies) renderebbe il suo attacco persistente. La prima cosa da fare è uccidere qualsiasi AV.

    
risposta data 26.07.2014 - 03:02
fonte

Leggi altre domande sui tag