Restaurar um iMac potencialmente comprometido - o melhor curso de ações

3

Para encurtar a história, um amigo meu recebeu um alerta de "login com êxito de IP não reconhecido" em uma conta de correio da Microsoft que ele possui. As condições do "hack" (tempo, senha usada etc) são tais que a única opção viável que não seja um alerta "falso positivo" (que ainda é muito provável) é que a senha foi de alguma forma roubada do cliente - um iMac - usado para criar a conta em um período muito curto (a data de "comprometimento" é de apenas 5 minutos após a criação da conta original) - se você quiser, poderá encontrar mais detalhes nesta pergunta em Segurança da informação .

De qualquer forma, o ponto é que, se houve um comprometimento, deve haver algum keylogger ou malware semelhante na máquina. Fiz algumas pesquisas básicas, mas não encontrei nada. Também tentou instalar o Little Snitch, mas os filtros de rede não mostraram nada de suspeito.

Dito isto, como não consigo encontrar nenhuma infecção para remover nem tenho certeza de que o alerta que meu amigo recebeu foi falso positivo, planejava "restaurar / reinstalar / formatar" a máquina, mesmo que isso signifique sacrificar todas as dados contidos nele. Mas devo admitir minha ignorância ... mesmo se eu também possuo um iMac, nunca tive a necessidade de restaurá-lo após algum compromisso, então não sei realmente como proceder.

Portanto, estou pedindo sugestões sobre a melhor abordagem aqui. Presumo que vou ter que baixar um sistema operacional iso em algum lugar do site da Apple e usá-lo para restaurar o sistema, mas não tenho certeza. Esta página parece indicar que eu deveria entrar no "Modo de restauração" e trabalhar a partir daí .... mas ... isso significa que o componente "restauração" ainda está vinculado ao sistema operacional atualmente instalado e pode ter sido comprometido também em uma maneira que poderia dar a uma infecção a capacidade de sobreviver à "limpeza"?

Desculpe se essas perguntas parecem um pouco confusas ou paranóicas, mas não encontrando nenhum vestígio da suposta infecção, agora estou começando a avaliar qualquer possibilidade.

Derpy
fonte
Apagar o disco de inicialização é a etapa crucial no link da Apple. Nenhum keylogger / malware no seu volume principal sobreviverá a ele. Isso não o protegerá de vetores de ataque baseados em firmware como o DerStarke .
precisa saber é o seguinte
Então, @klanomath, você está sugerindo que a ferramenta de utilitário de disco que você usaria para apagar o disco de inicialização é executada em uma memória não gravável separada? Caso contrário, não entendo por que a infecção que comprometeu o sistema operacional também não poderia ter comprometido a ferramenta.
Derpy
2
O Utilitário de Disco no Modo de Recuperação é iniciado a partir de uma imagem de disco montada, mas somente leitura, no Recovery HD (e seu md5 / sha1 pode ser facilmente testado). Caminho após a montagem do Recovery HD: /Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg. No Internet Recovery Mode, é uma imagem semelhante ao netboot ("baixada" da Akamai / Apple).
precisa saber é o seguinte

Respostas:

3

Veja como detectar keyloggers:

Execute este comando no terminal: kextstat

Algo assim deve aparecer:

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Então, todos os meus primeiros 143 kexts começam com.apple, então eles devem estar seguros (a menos que alguém use o ID do pacote da Apple, olhe atentamente cada um deles e veja se há algo errado com o nome) e eu instalei paralelos, portanto, deve ser seguro também.

Em seguida, verifique se uma das extensões está vinculada a algo que não faz sentido, como uma extensão de áudio vinculada a uma biblioteca de rede. Você pode ver a que eles estão vinculados olhando dentro dos colchetes angulares <>. Por exemplo, o item 114 ( com.parallels.virtualhid) vincula ao item 1, que é com.apple.kpi.bsd. como 1 está dentro dos colchetes angulares ( <37 5 4 3 1>)

Se você achar algo suspeito, remova-o, mas antes de continuar, verifique se possui a extensão correta do kernel. Desabilitar a extensão errada do kernel pode tornar a vida realmente difícil. Eles geralmente são encontrados System/Library/Extensionse terminam com a extensão .kext.


Agora, se você realmente deseja reinstalar completamente o macOS, siga estas etapas:

  1. Copie os arquivos necessários para outro local
  2. Inicialize no modo de recuperação:
    desligue o computador e ligue-o enquanto mantém pressionado Command- R.
  3. Apague o seu computador:
    selecione "Utilitário de disco" no menu
    Utilitário de Disco Clique em Apagar e confirme as caixas de diálogo (pode demorar um pouco para apagar) Apagar
  4. Reinstalar o macOS
    Selecione "reinstalar o macOS" Siga as instruções
    reinstalar
  5. Completo!

Observe que a instalação pode demorar muito, principalmente quando a conexão à Internet é lenta, pois efetivamente baixa o sistema operacional da Internet.

paper1111
fonte
Obrigado pelo conselho. Na verdade, eu já tentei o comando kextstat (Kernel EXTension STATus?) E até mais como os sugeridos aqui e não encontrei nada (a única extensão que não é da Apple é um script do Cocoa relacionado a um script que, com base nos resultados do Google, deve ser seguro). Neste ponto, tenho certeza de que não nenhuma infecção, apenas o sistema Microsoft emitindo falsos positivos, mas como não há como provar que a limpeza é a única opção. Eu só queria ter certeza de que não há uma maneira razoável de sobreviver a uma infecção após a restauração.
Derpy
@Derpy claro que não, porque você limpar o disco limpo no passo 3.
paper1111