Cualquier tipo de rootkit que se precie va a ser casi indetectable en un sistema en ejecución porque se conecta al kernel y / o reemplaza los binarios del sistema para ocultarse. Básicamente, no se puede confiar en lo que está viendo porque no se puede confiar en el sistema. Lo que debe hacer es apagar el sistema, conectar una unidad de arranque externa (no la conecte al sistema en ejecución) y luego iniciar el sistema desde un disco externo y busque programas sospechosos.
Haré la hipótesis que ya ha verificado a fondo todas las más comunes RAT están apagados o muertos (todos los compartidos, ARD, Skype, VNC …).
-
En una Mac externa y totalmente confiable que ejecute también 10.6.8, instale uno (o ambos) de estos 2 detectores de rootkits:
- rkhunter este es un
tgz
tradicional para construir & instalar
-
chkrootkit que puede instalar a través de brew
o macports
, por ejemplo:
port install chkrootkit
-
Pruébelos en esta confiable Mac.
-
Guárdelos en una llave USB.
-
Conecte su llave en su sistema sospechoso que se ejecuta en modo normal con todo como de costumbre y ejecute
Comentarios
Una forma definitiva de ver si hay algo sospechoso es abrir la aplicación Activity Monitor, que puede abrir con Spotlight o ir a Aplicaciones Utilidades Activity Monitor . Una aplicación puede ocultarse de la vista, pero si se está ejecutando en la máquina, definitivamente aparecerá en el Monitor de actividad. Algunas cosas allí tendrán nombres divertidos, pero se supone que deben estar ejecutándose; así que si no seguro cuál es, tal vez Google antes de hacer clic en Salir del proceso , o puede desactivar algo importante.
Comentarios
Si ha sido pirateado, el keylogger tiene que informar. Puede hacerlo inmediatamente , o almacenarlo localmente y enviarlo periódicamente a algún destino de la red.
Su mejor opción es buscar una computadora portátil vieja, idealmente con 2 puertos ethernet o, en su defecto, con una tarjeta de red PCMCIA. Instale un BSD o Sistema Linux en él. (Yo recomendaría OpenBSD, luego FreeBSD solo porque la administración es más fácil)
Configure la computadora portátil para que actúe como un puente – todos los paquetes pasan. Ejecute tcpdump en el tráfico de regreso y Escriba todo en una unidad flash. Cambie periódicamente la unidad, lleve el disco lleno a casa y use ethereal o snort o similar para revisar el archivo de volcado y ver si encuentra algo extraño.
Está buscando tráfico hacia una combinación de puerto / ip inusual. Esto es duro. No conozco ninguna buena herramienta que ayude a eliminar la paja.
Existe la posibilidad de que el software espía escriba en el disco local cubriendo sus pistas. Puede comprobarlo arrancando desde otra máquina, boot tu mac en modo objetivo (actúa como un dispositivo firewire) Escanea el volumen, capturando todos los detalles que puedas.
Compara dos ejecuciones de esto en días separados usando diff. Esto elimina el archivo que es el mismo en ambas carreras. Esto no encontrará todo. P.ej. Una aplicación Blackhat puede crear un volumen de disco como un archivo. Esto no cambiará mucho si la aplicación Black puede hacer arreglos para que las fechas no cambien.
El software puede ayudar: http://aide.sourceforge.net/ Entorno de detección de intrusiones avanzado AIDE. Útil para observar archivos / permisos modificados. Dirigido a * ix, no estoy seguro de cómo maneja los atributos extendidos.
Espero que esto ayude.