Ich habe den ernsthaften Verdacht, dass mein Chef eine Art Spionagesoftware installiert hat. Vielleicht ein Keylogger, ein Screenshot oder etwas, um zu wissen, was ich mache, wenn er nicht im Büro ist.
Ich habe nichts zu verbergen, also weiß ich nicht, ob er mir nichts sagt, weil er nichts falsch gefunden hat oder weil ich paranoid bin und er mich nicht ausspioniert.
In jedem Fall möchte ich sicher sein, ob ich ausspioniert werde, weil:
- Ich möchte nicht für jemanden arbeiten, der mir nicht vertraut
- Es ist illegal und ich erlaube niemandem, meine Passwörter (ich greife während der Mittagspause auf meine persönlichen E-Mail-, Homebanking- und Facebook-Konten zu) und persönlichen Informationen zu speichern.
Also ... wie kann ich Spionagesoftware in einem iMac unter OS X 10.6.8 erkennen? Ich habe volle Administratorrechte, weiß es.
Ich habe versucht, alle Ordner in der Benutzer- und Systembibliothek zu scannen, aber es hat nichts geklingelt, aber da ich glaube, dass diese Software den Ordner (entweder nach Speicherort oder nach Namen) verbergen würde, glaube ich nicht, dass ich einen Ordner mit dem Namen Employeee Spy Data finden werde
Ich habe mir auch alle Prozesse angesehen, die zu unterschiedlichen Zeitpunkten mit Activity Monitor ausgeführt wurden, aber es ist nicht so, als würde der Prozess SpyAgent Helper heißen
Gibt es eine Liste bekannter bekannter Ordner / Prozesse, nach denen gesucht werden muss?
Irgendeine andere Art zu erkennen?
quelle
Antworten:
Jede Art von Rootkit, die ihr Geld wert ist, wird auf einem laufenden System fast nicht erkannt werden können, da sie sich in den Kernel einhängen und / oder Systembinärdateien ersetzen, um sich selbst zu verbergen. Grundsätzlich kann dem, was Sie sehen, nicht vertraut werden, da dem System nicht vertraut werden kann. Sie müssen lediglich das System ausschalten, ein externes Startlaufwerk anschließen (nicht mit dem laufenden System verbinden) und das System dann von einer externen Festplatte starten und nach verdächtigen Programmen suchen.
quelle
Ich werde die Hypothese aufstellen, dass Sie bereits gründlich überprüft haben, ob alle gängigen RAT ausgeschaltet oder tot sind (alle Freigaben, ARD, Skype, VNC…).
Installieren Sie auf einem externen und vollständig vertrauenswürdigen Mac, auf dem auch 10.6.8 ausgeführt wird, einen (oder beide) dieser beiden Rootkit-Detektoren:
tgz
zum Bauen und Installierenchkrootkit, über das Sie installieren können,
brew
odermacports
zum Beispiel:port install chkrootkit
Testen Sie sie auf diesem vertrauenswürdigen Mac.
Speichern Sie sie auf einem USB-Stick.
Stecken Sie Ihren Schlüssel in Ihr vermutetes System, das im normalen Modus läuft, und führen Sie sie wie gewohnt aus.
quelle
Eine eindeutige Möglichkeit, um festzustellen, ob verdächtige Ereignisse ausgeführt werden, besteht darin, die Aktivitätsmonitor-App zu öffnen, die Sie mit Spotlight öffnen können, oder gehen Sie zu Anwendungen > Dienstprogramme > Aktivitätsmonitor . Eine App kann sich vor den Augen verstecken, aber wenn sie auf dem Computer ausgeführt wird, wird sie definitiv im Aktivitätsmonitor angezeigt. Einige Dinge dort werden lustige Namen haben, aber sie sollen laufen; Wenn Sie sich nicht sicher sind, was es ist, googeln Sie es möglicherweise, bevor Sie auf Prozess beenden klicken , oder deaktivieren Sie etwas Wichtiges.
quelle
Activity Monitor
), das nicht zu schwer zu lügen ist.Wenn Sie gehackt wurden, muss sich der Keylogger melden. Dies kann entweder sofort erfolgen oder lokal gespeichert und regelmäßig an ein Netzwerkziel gesendet werden.
Am besten durchsuchen Sie einen alten Laptop, idealerweise mit 2 Ethernet-Ports, oder, falls dies nicht der Fall ist, mit einer PCMCIA-Netzwerkkarte. Installieren Sie ein BSD- oder Linux-System darauf. (Ich würde OpenBSD und dann FreeBSD nur wegen der einfacheren Verwaltung empfehlen.)
Richten Sie den Laptop als Bridge ein - alle Pakete werden weitergeleitet. Führen Sie tcpdump im Datenverkehr hin und her aus. Schreiben Sie alles auf ein Flash-Laufwerk. Wechseln Sie das Laufwerk regelmäßig, nehmen Sie das gefüllte Laufwerk mit nach Hause und verwenden Sie ätherisch oder schnaubend oder ähnliches, um die Speicherauszugsdatei zu durchsuchen und festzustellen, ob Sie etwas Seltsames finden.
Sie suchen nach Datenverkehr zu einer ungewöhnlichen IP / Port-Kombination. Das ist hart. Ich kenne keine guten Werkzeuge, um die Spreu zu entfernen.
Es besteht die Möglichkeit, dass die Spyware auf die lokale Festplatte schreibt, die ihre Spuren abdeckt. Sie können dies überprüfen, indem Sie von einem anderen Computer booten und Ihren Mac im Zielmodus starten (er verhält sich wie ein Firewire-Gerät). Scannen Sie das Volume und greifen Sie auf alle Details zu, die Sie können.
Vergleichen Sie zwei Läufe an verschiedenen Tagen mit diff. Dadurch wird die Datei entfernt, die bei beiden Läufen gleich ist. Das wird nicht alles finden. Beispielsweise kann eine Blackhat-App ein Datenträgervolumen als Datei erstellen. Dies wird sich nicht viel ändern, wenn die Black App dafür sorgen kann, dass sich die Daten nicht ändern.
Software kann helfen: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Nützlich, um nach geänderten Dateien / Berechtigungen zu suchen. Ziel ist * ix, nicht sicher, wie es mit erweiterten Attributen umgeht.
Hoffe das hilft.
quelle
Zum Erkennen und Löschen von Apps können Sie jede Deinstallationssoftware für Macintosh verwenden (z. B. CleanMyMac oder MacKeeper).
quelle