Kembalikan iMac yang berpotensi dikompromikan - tindakan terbaik

Singkat cerita, seorang teman saya menerima peringatan "login berhasil IP tidak dikenal" pada akun email Microsoft yang dimilikinya. Kondisi "peretasan" (waktu, kata sandi yang digunakan dll) sedemikian rupa sehingga satu-satunya pilihan selain peringatan "false positive" (yang masih sangat mungkin) adalah bahwa kata sandi itu entah bagaimana dicuri dari klien - iMac digunakan untuk membuat akun dalam rentang waktu yang sangat singkat (tanggal "kompromi" hanya 5 menit setelah pembuatan akun asli) - jika suka, Anda dapat menemukan detail lebih lanjut dalam pertanyaan tentang Keamanan Informasi ini .

Pokoknya, intinya adalah itu jika ada kompromi, maka harus ada keylogger atau malware serupa di mesin. Saya melakukan pencarian dasar tetapi tidak menemukan apa pun. Juga mencoba menginstal Little Snitch, tetapi filter jaringan tidak menunjukkan sesuatu yang mencurigakan.

Yang mengatakan, karena saya tidak dapat menemukan infeksi untuk dihapus atau saya dapat yakin bahwa peringatan yang diterima teman saya adalah positif palsu, saya berencana untuk "mengembalikan / menginstal ulang / memformat" mesin, bahkan jika itu berarti mengorbankan semua data yang terkandung di dalamnya. Tetapi saya harus mengakui ketidaktahuan saya ... bahkan jika saya juga memiliki iMac, saya tidak pernah perlu mengembalikannya setelah beberapa kompromi, jadi saya tidak benar-benar tahu bagaimana harus melanjutkan.

Karena itu saya meminta saran tentang pendekatan terbaik di sini. Saya berasumsi saya harus mengunduh iso sistem operasi di suatu tempat di situs Apple dan kemudian menggunakannya untuk memulihkan sistem tetapi saya tidak yakin. Halaman ini tampaknya menunjukkan bahwa saya harus memasukkan "Restore Mode" dan bekerja dari sana .... tapi ... apakah itu berarti bahwa komponen "restore" masih terikat dengan OS yang saat ini diinstal dan bisa saja dikompromikan juga dengan cara yang dapat memberikan infeksi kemampuan untuk bertahan hidup "menghapus"?

Maaf jika pertanyaan-pertanyaan itu tampaknya sedikit membingungkan atau paranoid, tetapi setelah tidak menemukan jejak dugaan infeksi, saya sekarang mulai mengevaluasi segala kemungkinan.

Berikut cara mendeteksi keyloggers:

Jalankan perintah ini di terminal: kextstat

Sesuatu seperti ini akan muncul:

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Jadi 143 pertama saya kexts semua dimulai dengan com.apple, jadi mereka harus aman (kecuali seseorang menggunakan id bundel Apple, jadi perhatikan baik-baik masing-masing dan lihat apakah ada yang salah dengan namanya) dan saya telah menginstal paralelnya, jadi harus aman juga.

Selanjutnya, periksa apakah salah satu ekstensi tautan terhadap sesuatu yang tidak masuk akal, seperti ekstensi audio yang menghubungkan dengan perpustakaan jaringan. Anda dapat melihat apa yang mereka tautkan dengan melihat ke dalam kurung sudut & lt; & gt ;. Misalnya, item 114 ( com.parallels.virtualhid ) tautan ke item 1, yaitu com.apple.kpi.bsd. karena 1 berada di dalam kurung sudut ( <37 5 4 3 1> )

Jika Anda menemukan sesuatu yang mencurigakan, hapus itu, tetapi sebelum Anda pergi pastikan Anda memiliki ekstensi kernel yang tepat. Menonaktifkan ekstensi kernel yang salah dapat membuat hidup sangat sulit. Mereka biasanya ditemukan di System/Library/Extensions dan akhiri dengan ekstensi .kext.

Sekarang jika Anda benar-benar ingin menginstal ulang macOS, ikuti langkah berikut:

1. Salin file yang Anda butuhkan ke tempat lain
2. Boot ke mode pemulihan:
   Matikan komputer Anda, lalu nyalakan saat memegang Perintah - R .
3. Hapus komputer Anda:
   Pilih "Disk Utility" dari menu
   Klik Hapus dan konfirmasikan dialog (Mungkin perlu beberapa saat untuk menghapus)
4. Instal ulang macOS
   Pilih "instal ulang macOS"
   
   Ikuti instruksinya
5. Lengkap!

Perhatikan bahwa penginstalan mungkin memakan waktu lama, terutama ketika koneksi internet Anda lambat karena sebenarnya mengunduh OS dari internet.