Tidak Dapat Menghilangkan Mac / Linux Malware atau Hardware Bug

2

MacBook saya sekarang memiliki pintu belakang permanen untuk beberapa peretas yang sepertinya tidak bisa saya singkirkan. Saya bahkan mencoba mem-boot dari Linux USB stick, menghapus semuanya termasuk partisi EFI, tetapi setiap kali saya mencoba menginstal ulang koneksi saya dibajak oleh fungsi "SlingShot" ini dan dialihkan ke beberapa server hosting yang terinfeksi: 

NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
DownloadChunkedAsset: Downloading 44 chunks.
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps
SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps
SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps
SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps
SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps

Mem-boot dari HD Pemulihan atau bahkan dari Drive Pemulihan Jaringan Apple masih membuat saya terjebak dalam rute ulang ini, dan sistem yang rusak dipasang setiap saat. Entah bagaimana bug ini dapat mengautentikasi pada sistem saya bahkan setelah penghapusan.

Tampaknya terkait perangkat keras. Booting dari Kali Linux pada USB stick saya mendapatkan entri ini di log boot yang menunjukkan bug firmware Mac: 

[    0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled
[    0.020291] Not enable interrupt remapping
[    0.020292] Failed to enable irq remapping.  You are vulnerable to irq-injection attacks.

Segera diikuti oleh sistem yang dimiliki oleh sinyal interupsi dari jaringan? 

[    0.174491] ACPI: Interpreter enabled
[    0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580)
[    0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580)
[    0.174509] ACPI: (supports S0 S3 S4 S5)
[    0.174510] ACPI: Using IOAPIC for interrupt routing
[    0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[    0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff])
[    0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability]
[    0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge

Kemudian ada entri yang menunjukkan fungsi uPnP yang tampaknya menyamar sebagai file audio inti, dan saya perhatikan hal yang sama terjadi dengan PulseAudio di laptop Linux saya. Dan uPnP telah dinonaktifkan pada router saya untuk sementara waktu sekarang.

Juga, setiap distro Linux yang saya coba unduh dan instal atau instal dari disk telah disuntikkan dengan kerentanan yang sama. Bahkan jika saya pergi ke jaringan yang sama sekali berbeda. Jadi bug ada di komputer saya, tetapi tetap ada melalui lap. Dan setiap komputer dan router telah dihapus dan diinstal ulang dari awal, tetapi masih masuk ke dalam segalanya dan saya masih tidak memiliki kendali atas koneksi jaringan saya.

Cukup yakin ini semua dimulai dari iPhone saya dan akses melalui otentikasi "Percayai Komputer ini", tetapi saya belum menghubungkan iPhone saya ke laptop mana pun sejak ini dimulai. Dan ada lebih banyak detail dan momen menyenangkan seperti server apache yang digunakan 15 menit setelah penghapusan, USB stick saya dihapus dan hub dinonaktifkan ketika saya mencoba menyalin file server sebagai bukti, dan AppleCare mengatakan kepada saya bahwa mereka tidak melihat apa-apa sangat abnormal tentang semua ini.

Tapi ... Dengan anggapan ini sebagian besar ada dalam file konfigurasi boot, bagaimana cara membersihkannya di Mac dan Linux untuk memastikannya tidak terus bereplikasi sendiri? Atau apa yang harus saya lakukan untuk mengunci sesuatu?

linux mac malware bootloader upnp scissortail
sumber
Apa yang salah dengan sistem yang diinstal setelah Anda melakukan Pemulihan Internet? Apa yang membuat Anda berpikir bug firmware yang dilaporkan oleh pemasang Linux lebih dari sekadar bug firmware kesalahan khas programmer atau fitur yang hilang? Yaitu, mengapa menurut Anda firmware yang rusak / diretas / dibajak? Dan apa di cuplikan log ketiga yang Anda poskan membuat Anda berpikir Anda mendapat interupsi dari jaringan?
Spiff

Jawaban:

6

Saya pikir Anda telah bekerja sendiri dalam kegilaan paranoid dengan mengambil interpretasi terburuk dari sekelompok pesan log yang Anda tidak benar-benar mengerti.

Saya cukup yakin SlingShot adalah nama internal Apple untuk apa yang secara publik dikenal sebagai "OS X Internet Recovery". Jika hard drive Mac Anda telah sepenuhnya dihapus (bahkan tidak ada partisi pemulihan yang biasanya tersembunyi), maka Mac Anda akan mencoba untuk netboot dari server Apple (mungkin di-host di server CDN Akamai / EdgeSuite; Apple sudah lama menggunakan Akamai sebagai CDN favorit).

Artikel ini memberi Anda beberapa informasi tentang Pemulihan Internet (serta pemulihan partisi pemulihan hard drive lokal): https://support.apple.com/en-us/HT4718

Saya pikir "Firmware Bug" yang dilaporkan oleh installer Linux hanyalah bug, atau installer yang terlalu bersemangat menyebutnya sebagai "bug" ketika firmware tidak memiliki fitur keamanan tertentu yang diharapkan akan diinstal oleh installer. Saya tidak melihat bukti bahwa ini adalah citra firmware yang rusak, diretas, atau dibajak.

Adapun potongan log terakhir, harap menyadari bahwa motherboard sering memiliki "jembatan chip" untuk menghubungkan satu bus ke yang lain (seperti menghubungkan dua bus PCI satu sama lain), dan "interrupt routing" mengacu pada rute dari chip-ke-chip yang sinyal interupsi mengambil melintasi motherboard. Ini "menjembatani" dan "routing" adalah semua tentang chip dan bus dan sirkuit elektronik lainnya pada motherboard, bukan jaringan LAN / Internet.

Spiff
sumber
Saya memiliki log yang lebih lengkap tetapi terlalu panjang untuk disertakan. Bagaimana saya mempostingnya? Tetapi saya juga dapat mengatakan bahwa orang Apple yang saya ajak bicara tidak mengetahui tentang kesepakatan server Akamai, dan setelah pertama kali saya mengunduh menginstal ulang dengan cara itu saya menemukan file log yang menunjukkan pengunduhan selanjutnya dari file konfigurasi Gatekeeper, file pengaturan Akses Jarak Jauh, dan bahasa Mandarin dukungan bahasa. Ini semua saat aku tertidur. Banyak hal lain seperti itu. Dan saya memiliki catatan Wireshark yang menunjukkan segala macam perilaku abnormal juga dengan alamat IP yang tidak saya kenali ketika saya duduk di sini tidak melakukan apa-apa.
scissortail
Juga harap dipahami bahwa sebelum dua minggu yang lalu saya tidak tahu apa-apa tentang Linux atau proses booting atau perutean. Saya sudah mencoba memberikan kursus kilat pada saya semua dalam beberapa minggu terakhir, dan telah melakukan semua yang saya tahu bagaimana saya sendiri untuk memecahkan masalah ini selain berurusan dengan dukungan teknis Apple. Saya tidak bisa menjelaskan apa yang salah dengan sangat baik karena saya tidak tahu dan saya tidak tahu mana dari jutaan baris log yang relevan ... Tapi saya telah memperhatikan log selama bertahun-tahun. Pasti cukup lama untuk mengetahui bahwa ada banyak hal yang tidak normal.
scissortail
Anda dapat memposting teks panjang ke gist.github.com atau pastebin.com, dan kemudian menautkannya dari posting Anda. Jika Anda melanggar batas jumlah tautan yang bisa dibuat pengguna baru, pertimbangkan untuk memasukkan URL sebagai teks tanpa menjadikannya tautan. Gatekeeper, Remote Access, dan file bahasa Cina adalah semua nama untuk hal-hal dalam instalasi OS X standar. OS modern memiliki banyak proses latar belakang yang berbicara dengan banyak server dan CDN, sehingga Anda akan selalu melihat banyak alamat IP yang tidak Anda kenal; jangan panik unit Anda telah melakukan pencarian hostname pada IP tersebut dan memastikan mereka bukan Apple atau Akamai.
Spiff
Secara keseluruhan, saya pikir Anda harus fokus pada apa pun yang semula Anda coba lakukan (menginstal Linux, menginstal ulang OS X, atau apa pun tujuan Anda), dan menulis Pertanyaan terpisah jika Anda memerlukan bantuan dengan itu. Tidak ada yang Anda bagikan sejauh ini yang tampak mencurigakan. Mengesampingkan pesan log yang tidak Anda mengerti, apakah ada yang salah dengan mesin Anda? Apakah Anda memiliki masalah aktual?
Spiff
0

Entah itu bagian integral dari jaringan Anda, atau router Anda telah dikompromikan dan DNS-nya dimainkan.

JohnnyVegas
sumber