Kembalikan iMac yang berpotensi dikompromikan - tindakan terbaik

3

Singkat cerita, seorang teman saya menerima peringatan "login berhasil IP tidak dikenal" pada akun email Microsoft yang dimilikinya. Kondisi "peretasan" (waktu, kata sandi yang digunakan dll) sedemikian rupa sehingga satu-satunya pilihan selain peringatan "false positive" (yang masih sangat mungkin) adalah bahwa kata sandi itu entah bagaimana dicuri dari klien - iMac digunakan untuk membuat akun dalam rentang waktu yang sangat singkat (tanggal "kompromi" hanya 5 menit setelah pembuatan akun asli) - jika suka, Anda dapat menemukan detail lebih lanjut dalam pertanyaan tentang Keamanan Informasi ini .

Pokoknya, intinya adalah itu jika ada kompromi, maka harus ada keylogger atau malware serupa di mesin. Saya melakukan pencarian dasar tetapi tidak menemukan apa pun. Juga mencoba menginstal Little Snitch, tetapi filter jaringan tidak menunjukkan sesuatu yang mencurigakan.

Yang mengatakan, karena saya tidak dapat menemukan infeksi untuk dihapus atau saya dapat yakin bahwa peringatan yang diterima teman saya adalah positif palsu, saya berencana untuk "mengembalikan / menginstal ulang / memformat" mesin, bahkan jika itu berarti mengorbankan semua data yang terkandung di dalamnya. Tetapi saya harus mengakui ketidaktahuan saya ... bahkan jika saya juga memiliki iMac, saya tidak pernah perlu mengembalikannya setelah beberapa kompromi, jadi saya tidak benar-benar tahu bagaimana harus melanjutkan.

Karena itu saya meminta saran tentang pendekatan terbaik di sini. Saya berasumsi saya harus mengunduh iso sistem operasi di suatu tempat di situs Apple dan kemudian menggunakannya untuk memulihkan sistem tetapi saya tidak yakin. Halaman ini tampaknya menunjukkan bahwa saya harus memasukkan "Restore Mode" dan bekerja dari sana .... tapi ... apakah itu berarti bahwa komponen "restore" masih terikat dengan OS yang saat ini diinstal dan bisa saja dikompromikan juga dengan cara yang dapat memberikan infeksi kemampuan untuk bertahan hidup "menghapus"?

Maaf jika pertanyaan-pertanyaan itu tampaknya sedikit membingungkan atau paranoid, tetapi setelah tidak menemukan jejak dugaan infeksi, saya sekarang mulai mengevaluasi segala kemungkinan.

Derpy
sumber
Menghapus disk startup adalah langkah penting dalam tautan Apple. Tidak ada keylogger / malware pada volume utama Anda yang akan bertahan. Ini tidak akan melindungi Anda dari vektor serangan berbasis Firmware seperti DerStarke .
klanomath
Jadi, @klanomath, apakah Anda menyiratkan bahwa alat utilitas disk yang akan Anda gunakan untuk menghapus disk startup berjalan dari memori terpisah yang tidak dapat ditulis? Kalau tidak, saya tidak mengerti mengapa infeksi yang membahayakan OS tidak bisa membahayakan alat juga.
Derpy
2
Utilitas Disk dalam Mode Pemulihan diluncurkan dari disk image yang dipasang tetapi hanya baca di Recovery HD (dan md5 / sha1-nya dapat dengan mudah dibuktikan). Path setelah memasang Recovery HD: /Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg. Dalam Mode Pemulihan Internet, ini adalah gambar netboot yang serupa ("diunduh" dari Akamai / Apple).
klanomath

Jawaban:

3

Berikut cara mendeteksi keyloggers:

Jalankan perintah ini di terminal: kextstat

Sesuatu seperti ini akan muncul:

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Jadi 143 pertama saya kexts semua dimulai dengan com.apple, jadi mereka harus aman (kecuali seseorang menggunakan id bundel Apple, jadi perhatikan baik-baik masing-masing dan lihat apakah ada yang salah dengan namanya) dan saya telah menginstal paralelnya, jadi harus aman juga.

Selanjutnya, periksa apakah salah satu ekstensi tautan terhadap sesuatu yang tidak masuk akal, seperti ekstensi audio yang menghubungkan dengan perpustakaan jaringan. Anda dapat melihat apa yang mereka tautkan dengan melihat ke dalam kurung sudut & lt; & gt ;. Misalnya, item 114 ( com.parallels.virtualhid ) tautan ke item 1, yaitu com.apple.kpi.bsd. karena 1 berada di dalam kurung sudut ( <37 5 4 3 1> )

Jika Anda menemukan sesuatu yang mencurigakan, hapus itu, tetapi sebelum Anda pergi pastikan Anda memiliki ekstensi kernel yang tepat. Menonaktifkan ekstensi kernel yang salah dapat membuat hidup sangat sulit. Mereka biasanya ditemukan di System/Library/Extensions dan akhiri dengan ekstensi .kext.


Sekarang jika Anda benar-benar ingin menginstal ulang macOS, ikuti langkah berikut:

  1. Salin file yang Anda butuhkan ke tempat lain
  2. Boot ke mode pemulihan:
    Matikan komputer Anda, lalu nyalakan saat memegang Perintah - R .
  3. Hapus komputer Anda:
    Pilih "Disk Utility" dari menu
    Disk Utility Klik Hapus dan konfirmasikan dialog (Mungkin perlu beberapa saat untuk menghapus) Erase
  4. Instal ulang macOS
    Pilih "instal ulang macOS"
    reinstall
    Ikuti instruksinya
  5. Lengkap!

Perhatikan bahwa penginstalan mungkin memakan waktu lama, terutama ketika koneksi internet Anda lambat karena sebenarnya mengunduh OS dari internet.

paper1111
sumber
Terima kasih atas sarannya. Saya sebenarnya sudah mencoba perintah kextstat (Kernel EXTension STATus?) Dan bahkan lebih seperti yang disarankan. sini dan tidak menemukan apa pun (satu-satunya ekstensi non-Apple adalah skrip yang terkait Kakao yang berdasarkan hasil google harus aman). Pada titik ini, saya cukup yakin di sana bukan infeksi apa pun, hanya sistem Microsoft yang memberikan hasil positif palsu, tetapi karena tidak ada cara untuk membuktikannya menghapus adalah satu-satunya pilihan. Saya hanya ingin memastikan tidak ada masuk akal cara infeksi bisa hidup melewati pemulihan.
Derpy
@Derpy tentu saja bukan karena Anda menghapus disk di langkah 3.
paper1111