Cómo escanear una Mac en busca de rootkits y otros peligros de seguridad furtivos

5

Estoy pensando en comprar una Mac de segunda mano, probablemente una que no incluya un disco de instalación del sistema operativo. ¿Cómo puedo escanearlo para asegurarme de que no haya instalado amenazas de seguridad? ¿Hay una imagen de CD o DVD con la que pueda iniciarla para realizar este escaneo sin conexión?

Editar : la posible máquina sería una MacBook Pro 2012 o 2012.

También tenga en cuenta que no tengo acceso confiable a Internet de alta velocidad, por lo que las soluciones que involucran la descarga de 5GB a través de Internet no son ideales. Para otros, sin embargo, esta guía para crear un Mavericks de arranque el medio de instalación puede ser útil.

    
pregunta intuited 26.06.2014 - 23:39

2 respuestas

5

Terminé usando una segunda Mac para hacer un escaneo con la máquina cuestionable iniciada en modo de disco de destino .

Mi procedimiento de escaneo real fue

0) (hecho antes de usar el modo de disco de destino) actualiza el sistema y las aplicaciones en ambas máquinas a las versiones actuales

1) compare archivos en ambas máquinas usando este script:

DIRS=(Applications Library mach_kernel bin "private/etc" sbin usr);
# leaving out /opt as it seems to just contain MacPorts stuff

for dir in "${DIRS[@]}"; do
  # diff: recursive, just output whether files differ
  diff -r -q --speed-large-files "$1/$dir" "$2/$dir";
done;

1.1) Utilicé un editor de texto de gran potencia (vim) para dar sentido a la salida. Mi estrategia básica era simplemente organizar las líneas de salida en los primeros dos niveles de la estructura de directorios utilizando el plegado de código basado en sangría. Esta técnica requiere algunos conocimientos informáticos generales y específicos de POSIX-ish, en particular para diferenciar las diferencias "correctas" de las diferencias potencialmente peligrosas.

2) Corrí chkrootkit usando el comando

sudo ./chkrootkit -q -r /Volumes/system/

2.1) chkrootkit produjo la siguiente salida. Estas indicaciones parecen deberse a la ejecución del análisis en un disco de destino y / o debido a las diferencias entre los distintos sistemas operativos que soporta chkrootkit .

error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
not tested
not tested
unable to open wtmp-file /Volumes/system/wtmp
not tested: not found wtmp and/or lastlog file

2.2) Para obtener chkrootkit para compilar, tuve que descomentar una línea en Makefile . Está claramente indicado en el Makefile . Consulte aquí para obtener más información.

SUMMARY

Me siento bastante seguro de que este fue un escaneo efectivo (dado el estado limpio del sistema de escaneo). Sin embargo, hay algunas desventajas de este método:

  • Se supone que el equipo de escaneo está limpio
  • Requiere otra Mac (obviamente)
  • Puede ser muy difícil encontrar un cable Firewire de 9 pines a 9 pines.

En caso de que no tenga un Mac adicional disponible, aquí hay un par de alternativas a este enfoque:

  • Es posible instalar OSX de forma limpia en una unidad USB. Para hacer esto, inicie la máquina mientras mantiene presionada la opción de comando-R para realizar una Recuperación de Internet . Esto evita el contenido del disco y utiliza el código de firmware para instalar OSX desde los servidores de Apple. Aparentemente, solo puede conectar una unidad USB y elegirla como objetivo de instalación; después, puede arrancar la máquina desde la unidad USB y ejecutar escaneos en la unidad del sistema. El inconveniente aquí es que se trata de una descarga de > 5 GB, por lo que es mejor que tengas una conexión rápida a Internet (o algo de paciencia).

  • También podría haber extraído la unidad de la máquina y colocarla en una caja de disco duro. Las ventajas aquí son que no habría tenido que usar una Mac para escanearla, y que no hubiera tenido que encontrar un cable Firewire de 9 pines a 9 pines. Por supuesto, si no usara una Mac para escanearla, no habría podido usar mi primer método de escaneo (el diff ).

respondido por el intuited 28.06.2014 - 17:52
2

Aquí hay un recibo para alguien que ya conoce Macports o está dispuesto a comenzar con:

  1. Cree un nuevo usuario administrador e inicie sesión con él
  2. Instale el último compilador de C a través de Xcode
  3. Instale MacPorts: enlace (2.3.0)
  4. Instale clamav (0.98.3) y chkrootkit (0.49)
  5. Ejecuta ambas herramientas:

    /usr/bin/sudo /opt/local/bin/clamscan --bell -l ~/tmp/clam.'date +%d-%m-%Y'.log -r /
    /usr/bin/sudo /opt/local/bin/chkrootkit
    

    (Cuando no sabes sobre qué hielo estás caminando, es más seguro para utilizar las rutas explícitas).

respondido por el daniel Azuelos 28.06.2014 - 16:23

Lea otras preguntas en las etiquetas