Restaurar un iMac potencialmente comprometido: el mejor curso de acciones

Navega tus respuestas
3

En pocas palabras, un amigo mío recibió una alerta de "inicio de sesión con IP no reconocida exitosa" en una cuenta de correo de Microsoft que posee. Las condiciones del "pirateo" (tiempo, contraseña utilizada, etc.) son tales que la única opción viable que no sea una alerta "falsa positiva" (que todavía es muy probable) es que la contraseña fue robada de alguna manera al cliente (un iMac) utilizado para crear la cuenta en un período de tiempo muy corto (la fecha de "compromiso" es solo 5 minutos después de la creación de la cuenta original): si lo desea, puede encontrar más detalles > en esta pregunta sobre Seguridad de la información .

De todos modos, el punto es que si hubo un compromiso, entonces debe haber algún keylogger o malware similar en la máquina. Hice una búsqueda básica pero no encontré nada. También intenté instalar Little Snitch, pero los filtros de red no mostraron nada sospechoso.

Dicho esto, ya que no puedo encontrar ninguna infección para eliminar ni puedo estar seguro de que la alerta que recibió mi amigo fue un falso positivo, estaba planeando "restaurar / reinstalar / formatear" la máquina, incluso si eso significa sacrificando todos los datos que contiene. Pero debo admitir mi ignorancia ... incluso si también tengo un iMac, nunca tuve la necesidad de restaurarlo después de algún compromiso, por lo que no sé cómo proceder.

Por lo tanto, estoy pidiendo sugerencias sobre el mejor enfoque aquí. Supongo que tendré que descargar un sistema operativo iso en algún lugar del sitio de Apple y luego usarlo para restaurar el sistema, pero no estoy seguro. Esta página parece indicar que debo ingresar al "Modo de restauración" y continuar desde allí ... pero. ... ¿eso significa que el componente "restaurar" todavía está vinculado al sistema operativo instalado actualmente y podría haberse comprometido también de una manera que podría dar a una infección la capacidad de sobrevivir al "borrado"?

Lo siento si esas preguntas parecen un poco confusas o paranoicas, pero al no encontrar rastro de la supuesta infección, ahora estoy empezando a evaluar cualquier posibilidad.

    
pregunta Derpy 28.04.2017 - 14:41

1 respuesta

3

Aquí es cómo detectar keyloggers:

Ejecuta este comando en la terminal: kextstat

Algo como esto debería aparecer: 

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Así que mis primeros 143 kexts comienzan con com.apple , así que deberían estar a salvo (a menos que alguien use el ID de paquete de Apple, así que mire cada uno de ellos y vea si hay algún problema con el nombre) y he instalado paralelos , por lo que debería ser seguro también.

A continuación, compruebe si una de las extensiones se vincula con algo que no tiene sentido, como una extensión de audio que se vincula con una biblioteca de red. Puede ver a qué están vinculados mirando dentro de los corchetes angulares < & gt ;. Por ejemplo, el elemento 114 ( com.parallels.virtualhid ) enlaza con el elemento 1, que es com.apple.kpi.bsd . como 1 está dentro de los paréntesis angulares ( <37 5 4 3 1> )

Si encuentra algo sospechoso, elimínelo, pero antes de continuar, asegúrese de tener la extensión de kernel correcta. Deshabilitar la extensión incorrecta del kernel puede hacer la vida realmente difícil. Normalmente se encuentran en System/Library/Extensions y terminan con la extensión .kext .

Ahora si realmente quieres reinstalar completamente macOS, sigue estos pasos:

  1. Copie los archivos que necesite en otro lugar
  2. Arranque en modo de recuperación:
    Apague su computadora, luego enciéndala mientras mantiene presionado Command - R .
  3. borra tu computadora:
    Seleccione "Utilidad de disco" en el menú
    Haga clic en Borrar y confirme los cuadros de diálogo (puede tardar un poco en borrarse)
  4. ReinstalarmacOS
    Seleccione"reinstalar macOS"

    Sigue sus instrucciones
  5. ¡Completa!

Tenga en cuenta que la instalación puede llevar mucho tiempo, especialmente cuando su conexión a Internet es lenta, ya que en realidad descarga el sistema operativo de Internet.

    
respondido por el paper1111 28.04.2017 - 16:11

Lea otras preguntas en las etiquetas

¿Cómo puedo verificar si se está rastreando mi red Mac El Capitán de Mac OS? Múltiples usuarios desarrollando iOS simultáneamente en una Mac usando RealVNC