Ripristina un iMac potenzialmente compromesso: la migliore linea di condotta

3

Per farla breve, un mio amico ha ricevuto un avviso di "accesso riuscito non riconosciuto IP" su un account di posta elettronica di Microsoft di sua proprietà. Le condizioni dell '"hack" (tempistica, password usate ecc.) Sono tali che l'unica opzione valida oltre a un avviso "falso positivo" (che è ancora molto probabile) è che la password è stata in qualche modo rubata dal client - un iMac - utilizzato per creare l'account in un intervallo di tempo molto breve (la data di "compromesso" è solo 5 minuti dopo la creazione dell'account originale). Se lo desideri, puoi trovare ulteriori dettagli in questa domanda sulla sicurezza delle informazioni .

Ad ogni modo, il punto è che se c'è stato un compromesso, quindi ci deve essere un keylogger o un malware simile sulla macchina. Ho fatto alcune ricerche di base ma non ho trovato nulla. Ho anche provato a installare Little Snitch, ma i filtri di rete non hanno mostrato nulla di sospetto.

Detto questo, dal momento che non riesco a trovare alcuna infezione da rimuovere né posso essere sicuro che l'avviso ricevuto dal mio amico fosse un falso positivo, stavo pensando di "ripristinare / reinstallare / formattare" la macchina, anche se questo significa sacrificando tutti i dati contenuti su di esso. Ma devo ammettere la mia ignoranza ... anche se possiedo anche un iMac non ho mai avuto la necessità di ripristinarlo dopo qualche compromesso, quindi non so davvero come procedere.

Pertanto chiedo suggerimenti sull'approccio migliore qui. Presumo che dovrò scaricare un iso del sistema operativo da qualche parte sul sito Apple e usarlo per ripristinare il sistema, ma non ne sono sicuro. Questa pagina sembra indicare che dovrei entrare in "Modalità ripristino" e lavorare da lì .... ma. .. vuol dire che il componente "restore" è ancora legato al sistema operativo attualmente installato e potrebbe essere stato compromesso in un modo che potrebbe dare a un'infezione la capacità di sopravvivere al "wipe"?

Scusa se queste domande sembrano un po 'confuse o paranoiche, ma non avendo trovato alcuna traccia della presunta infezione ora sto iniziando a valutare qualsiasi possibilità.

    
posta Derpy 28.04.2017 - 14:41
fonte

1 risposta

3

Ecco come rilevare i keylogger:

Esegui questo comando nel terminale: kextstat

Qualcosa di simile dovrebbe apparire:

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Quindi i miei primi 143 kex iniziano tutti con com.apple , quindi dovrebbero essere sicuri (a meno che qualcuno non usi l'id del bundle di Apple, quindi guarda attentamente ognuno di essi e vedi se c'è qualcosa di sbagliato nel nome) e ho installato paralleli , quindi dovrebbe essere sicuro.

Successivamente, controlla se uno dei collegamenti delle estensioni non ha senso, come un'estensione audio che si collega a una libreria di rete. Puoi vedere a cosa sono collegati guardando all'interno delle parentesi angolari < & gt ;. Ad esempio, l'articolo 114 ( com.parallels.virtualhid ) si collega all'elemento 1, che è com.apple.kpi.bsd . come 1 è all'interno delle parentesi angolari ( <37 5 4 3 1> )

Se trovi qualcosa di sospetto, rimuovilo, ma prima di andare assicurati di avere l'estensione del kernel giusta. Disabilitare l'estensione del kernel sbagliata può rendere la vita davvero difficile. Di solito si trovano in System/Library/Extensions e terminano con l'estensione .kext .

Ora se vuoi davvero reinstallare completamente macOS, procedi nel seguente modo:

  1. Copia i file necessari in un'altra posizione
  2. Avvio in modalità di ripristino:
    Spegni il computer, quindi accendilo tenendo premuto il comando - R .
  3. Cancella il tuo computer:
    Seleziona "Utility Disco" dal menu
    Fai clic su Cancella e conferma le finestre di dialogo (potrebbe richiedere un po 'di tempo per cancellare)
  4. ReinstallamacOS
    Seleziona"reinstalla macOS"

    Segui le sue istruzioni
  5. Complete!

Tieni presente che l'installazione potrebbe richiedere molto tempo, specialmente quando la tua connessione Internet è lenta in quanto scarica il sistema operativo da Internet.

    
risposta data 28.04.2017 - 16:11
fonte

Leggi altre domande sui tag