Comment analyser un Mac des rootkits et autres dangers furtifs pour la sécurité

5

Je cherche à acheter un Mac d'occasion, probablement un disque qui n'inclut pas de disque d'installation du système d'exploitation. Comment puis-je le scanner pour s'assurer qu'il n'a pas eu de menaces de sécurité installées? Existe-t-il une image de CD ou de DVD avec laquelle je peux démarrer pour effectuer cette analyse hors ligne?

Edit : la machine potentielle serait un MacBook Pro datant de 2011 ou 2012.

Notez également que je n’ai pas un accès fiable à Internet haut débit. Les solutions de téléchargement de 5 Go sur Internet ne sont donc pas idéales. Pour d’autres, cependant, ce guide pour la création d’un support d’installation amorçable de Mavericks peut être utile.

security intuitif
la source
2
Les étapes varient en fonction du niveau de système d'exploitation sur le Mac. Vous pouvez en choisir un maintenant et éditer la question ou revenir avec ces détails une fois que vous avez votre Mac. Il existe des moyens d'effacer et de réinstaller en toute sécurité tout le matériel Mac. Le modèle de Mac offre également plus ou moins d'options en fonction de l'espace de stockage disponible.
bmike
3
En fonction du modèle que vous obtenez, rappelez-vous que Mavericks est désormais gratuit pour tous les utilisateurs. Par conséquent, s'il s'agit d'une machine compatible Mavericks, il est facile de procéder à une réinstallation complète et propre. Vous voudriez faire cela quand même, pour être honnête. Si ce n'est pas un ordinateur compatible Mavericks, vous pouvez rechercher sur eBay un jeu de disques de restauration ou, si vous avez des amis Mac, vous pouvez emprunter un disque d'installation du système d'exploitation. Assurez-vous simplement qu'il s'agit bien de la version fournie avec cet ordinateur. ; toute version plus récente pourrait être illégale à moins que vous ne l'achetiez. Essayez MacTracker pour découvrir le système d’exploitation de la machine.
fdmillion
2
Je partage ce que Fdmillion a dit. Il est beaucoup plus facile de faire une nouvelle installation que d’analyser l’ordinateur; En outre, il est préférable de l'essuyer de toute façon au cas où l'utilisateur précédent aurait laissé des ordures dessus. Une analyse ne sera nécessaire que si vous n'avez pas accès au support d'installation du système d'exploitation.
Sudo
Alors .. Si je n’ai pas accès au support d’installation ... comment puis-je analyser les problèmes?
Intuition le

Réponses:

5

J'ai fini par utiliser un deuxième Mac pour effectuer une analyse avec la machine douteuse démarrée en mode disque cible .

Ma procédure de numérisation réelle était

0) (effectuée avant d'utiliser le mode de disque cible) mettre à jour le système et les applications des deux machines vers les versions actuelles

1) comparez les fichiers sur les deux machines en utilisant ce script:

DIRS=(Applications Library mach_kernel bin "private/etc" sbin usr);
# leaving out /opt as it seems to just contain MacPorts stuff

for dir in "${DIRS[@]}"; do
  # diff: recursive, just output whether files differ
  diff -r -q --speed-large-files "$1/$dir" "$2/$dir";
done;

1.1) J'ai utilisé un éditeur de texte puissant (vim) pour donner un sens à la sortie. Ma stratégie de base consistait simplement à organiser les lignes de sortie en fonction des deux premiers niveaux de la structure de répertoires à l'aide du pliage de code basé sur le retrait. Cette technique nécessite des connaissances informatiques générales et spécifiques à POSIX, en particulier pour différencier les différences correctes des différences potentiellement dangereuses.

2) j'ai couru en chkrootkitutilisant la commande

sudo ./chkrootkit -q -r /Volumes/system/

2.1) chkrootkit est venu avec la sortie suivante. Ces indications semblent être dues à l'exécution de l'analyse sur un disque cible et / ou aux différences entre les différents systèmes d'exploitation pris en chkrootkitcharge.

error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
not tested
not tested
unable to open wtmp-file /Volumes/system/wtmp
not tested: not found wtmp and/or lastlog file

2.2) Afin de pouvoir chkrootkitcompiler, je devais décommenter une ligne dans le fichier Makefile. C'est clairement indiqué dans le Makefile. Voir ici pour plus d'informations.

RÉSUMÉ

Je suis assez confiant que cette analyse a été efficace (compte tenu de l'état de propreté du système d'analyse). Cependant, cette méthode présente quelques inconvénients:

  • Il suppose que l'ordinateur de numérisation est propre
  • Cela nécessite un autre Mac (évidemment)
  • Il peut être très difficile de trouver un câble Firewire 9 broches / 9 broches

Si vous n'avez pas de Mac supplémentaire disponible, voici quelques alternatives à cette approche:

  • Il est possible de mettre une installation propre d’OSX sur une clé USB. Pour ce faire, vous démarrez la machine en maintenant la commande commande-option-R enfoncée pour effectuer une récupération Internet . Cela contourne le contenu du disque et utilise le code du micrologiciel pour installer OSX à partir des serveurs Apple. Apparemment, vous pouvez simplement brancher un lecteur USB et choisir celui-ci comme cible d'installation; Ensuite, vous pouvez démarrer la machine à partir du lecteur USB et lancer des analyses sur le lecteur système. L'inconvénient est qu'il s'agit d'un téléchargement> 5 Go, il est donc préférable de disposer d'une connexion Internet rapide (ou de la patience).

  • J'aurais aussi pu sortir le lecteur de la machine et le placer dans un boîtier de disque dur. Les avantages ici sont que je n'aurais pas eu à utiliser un Mac pour le scanner et que je n'aurais pas eu à trouver un câble Firewire 9 broches / 9 broches. Bien sûr, si je n'utilisais pas de Mac pour le scanner, je n'aurais pas pu utiliser ma première méthode de numérisation (la diff).

intuitif
la source
2
chkrootkitpeut être utilisé sur un Mac monté en tant que disque cible. Si le système de fichiers monté à tester est nommé /Volumes/My Mac to test, puis utilisez cette façon: /usr/bin/sudo /opt/local/bin/chkrootkit -r '/Volumes/My Mac to test' .
Dan
2
Vous pouvez également exécuter à clamscanpartir d'un Mac "plus sûr" sur un Mac suspect monté en mode disque à distance ou cible.
Dan
Qui a examiné le code source de tous les programmes de chkrootkit C, en particulier le script «chkrootkit», afin de s’assurer qu’ils n’infectent pas nos ordinateurs avec des rootkits ou des enregistreurs de clé?
Curt
2

Voici un reçu pour quelqu'un qui sait déjà Macportsou est prêt à commencer:

  1. Créez un nouvel utilisateur admin et connectez-vous avec lui
  2. Installez le dernier compilateur C via Xcode
  3. Installez MacPorts: https://www.macports.org/ (2.3.0)
  4. Installer clamav(0.98.3) et chkrootkit(0.49)

  5. Exécutez les deux outils:

    /usr/bin/sudo /opt/local/bin/clamscan --bell -l ~/tmp/clam.`date +%d-%m-%Y`.log -r /
/usr/bin/sudo /opt/local/bin/chkrootkit

    (Lorsque vous ne savez pas sur quelle glace vous marchez, il est plus prudent d'utiliser des chemins explicites).

dan
la source
2
Je ne pense pas qu'il soit probable qu'un nouvel utilisateur fonctionne parfaitement, car un problème de sécurité est probablement présent au niveau du système et bien occulté. Je préférerais de loin faire une analyse hors ligne d'une variété.
intuitu