Wie erkenne ich Spionage- / Keylogger-Software? [Duplikat]

9

Ich habe den ernsthaften Verdacht, dass mein Chef eine Art Spionagesoftware installiert hat. Vielleicht ein Keylogger, ein Screenshot oder etwas, um zu wissen, was ich mache, wenn er nicht im Büro ist.

Ich habe nichts zu verbergen, also weiß ich nicht, ob er mir nichts sagt, weil er nichts falsch gefunden hat oder weil ich paranoid bin und er mich nicht ausspioniert.

In jedem Fall möchte ich sicher sein, ob ich ausspioniert werde, weil:

  1. Ich möchte nicht für jemanden arbeiten, der mir nicht vertraut
  2. Es ist illegal und ich erlaube niemandem, meine Passwörter (ich greife während der Mittagspause auf meine persönlichen E-Mail-, Homebanking- und Facebook-Konten zu) und persönlichen Informationen zu speichern.

Also ... wie kann ich Spionagesoftware in einem iMac unter OS X 10.6.8 erkennen? Ich habe volle Administratorrechte, weiß es.

Ich habe versucht, alle Ordner in der Benutzer- und Systembibliothek zu scannen, aber es hat nichts geklingelt, aber da ich glaube, dass diese Software den Ordner (entweder nach Speicherort oder nach Namen) verbergen würde, glaube ich nicht, dass ich einen Ordner mit dem Namen Employeee Spy Data finden werde

Ich habe mir auch alle Prozesse angesehen, die zu unterschiedlichen Zeitpunkten mit Activity Monitor ausgeführt wurden, aber es ist nicht so, als würde der Prozess SpyAgent Helper heißen

Gibt es eine Liste bekannter bekannter Ordner / Prozesse, nach denen gesucht werden muss?

Irgendeine andere Art zu erkennen?

Juan
quelle
5
Das ist dein Chef. Komm morgen zu mir. Nein, nur ein Scherz. Je nachdem, wie gut er ist, können Sie zunächst die verfügbare Software dieses Typs für Mac OS X überprüfen und beispielsweise Tastenanschläge ausprobieren, die sie aktivieren. Außerdem habe ich keine kommerzielle Lösung gefunden, die die Erfassung von Passwörtern bietet.
Harold Cavendish
1
Es ist nicht unbedingt illegal, hängt aber davon ab, was in Ihrem Arbeitsvertrag steht, und ich vermute, dass dies legal sein könnte, nur weil Sie Geräte verwenden, die dem Unternehmen gehören
user151019
1
Eine ähnliche Frage bei Super User . Sie können auch versuchen, den Netzwerkverkehr mit einer Anwendung wie Little Snitch zu überwachen .
Lri

Antworten:

10

Jede Art von Rootkit, die ihr Geld wert ist, wird auf einem laufenden System fast nicht erkannt werden können, da sie sich in den Kernel einhängen und / oder Systembinärdateien ersetzen, um sich selbst zu verbergen. Grundsätzlich kann dem, was Sie sehen, nicht vertraut werden, da dem System nicht vertraut werden kann. Sie müssen lediglich das System ausschalten, ein externes Startlaufwerk anschließen (nicht mit dem laufenden System verbinden) und das System dann von einer externen Festplatte starten und nach verdächtigen Programmen suchen.

Tyr
quelle
2

Ich werde die Hypothese aufstellen, dass Sie bereits gründlich überprüft haben, ob alle gängigen RAT ausgeschaltet oder tot sind (alle Freigaben, ARD, Skype, VNC…).

  1. Installieren Sie auf einem externen und vollständig vertrauenswürdigen Mac, auf dem auch 10.6.8 ausgeführt wird, einen (oder beide) dieser beiden Rootkit-Detektoren:

    1. rkhunter Dies ist eine Tradition tgzzum Bauen und Installieren
    2. chkrootkit, über das Sie installieren können, brewoder macportszum Beispiel:

      port install chkrootkit

  2. Testen Sie sie auf diesem vertrauenswürdigen Mac.

  3. Speichern Sie sie auf einem USB-Stick.

  4. Stecken Sie Ihren Schlüssel in Ihr vermutetes System, das im normalen Modus läuft, und führen Sie sie wie gewohnt aus.

Dan
quelle
1
Wenn das Rootkit den Betrieb einer ausführbaren Datei in einem Flash erkennen kann, kann es möglicherweise deren Aktionen ausblenden. Besser, Sie starten den verdächtigen Mac im Zielmodus und scannen dann vom vertrauenswürdigen Mac.
Sherwood Botsford
Wer hat den Quellcode für alle chkrootkit C-Programme überprüft, insbesondere für das Skript „chkrootkit“, um sicherzustellen, dass sie unsere Computer nicht mit Rootkits oder Key Loggern infizieren?
Curt
1

Eine eindeutige Möglichkeit, um festzustellen, ob verdächtige Ereignisse ausgeführt werden, besteht darin, die Aktivitätsmonitor-App zu öffnen, die Sie mit Spotlight öffnen können, oder gehen Sie zu Anwendungen > Dienstprogramme > Aktivitätsmonitor . Eine App kann sich vor den Augen verstecken, aber wenn sie auf dem Computer ausgeführt wird, wird sie definitiv im Aktivitätsmonitor angezeigt. Einige Dinge dort werden lustige Namen haben, aber sie sollen laufen; Wenn Sie sich nicht sicher sind, was es ist, googeln Sie es möglicherweise, bevor Sie auf Prozess beenden klicken , oder deaktivieren Sie etwas Wichtiges.

woz
quelle
2
Einige Softwareprogramme können die Routinen der Prozesstabelle patchen und sich verstecken. Einfache Programme und solche, die zuverlässiger sein sollen (da eine Änderung dieser niedrigen Ebene des Systems Probleme verursachen kann), verbergen nicht die Prozesse oder Dateien, die sie hinterlassen. Es ist jedoch keine gute Aussage, kategorisch zu sagen, dass alle Apps definitiv angezeigt werden, da es trivial ist, Activity Monitor oder die Prozesstabelle selbst mit etwas Lichttechnik zu patchen.
bmike
Dies ist ein riskantes Vertrauen in eine bekannte Anwendung ( Activity Monitor), das nicht zu schwer zu lügen ist.
Dan
0

Wenn Sie gehackt wurden, muss sich der Keylogger melden. Dies kann entweder sofort erfolgen oder lokal gespeichert und regelmäßig an ein Netzwerkziel gesendet werden.

Am besten durchsuchen Sie einen alten Laptop, idealerweise mit 2 Ethernet-Ports, oder, falls dies nicht der Fall ist, mit einer PCMCIA-Netzwerkkarte. Installieren Sie ein BSD- oder Linux-System darauf. (Ich würde OpenBSD und dann FreeBSD nur wegen der einfacheren Verwaltung empfehlen.)

Richten Sie den Laptop als Bridge ein - alle Pakete werden weitergeleitet. Führen Sie tcpdump im Datenverkehr hin und her aus. Schreiben Sie alles auf ein Flash-Laufwerk. Wechseln Sie das Laufwerk regelmäßig, nehmen Sie das gefüllte Laufwerk mit nach Hause und verwenden Sie ätherisch oder schnaubend oder ähnliches, um die Speicherauszugsdatei zu durchsuchen und festzustellen, ob Sie etwas Seltsames finden.

Sie suchen nach Datenverkehr zu einer ungewöhnlichen IP / Port-Kombination. Das ist hart. Ich kenne keine guten Werkzeuge, um die Spreu zu entfernen.

Es besteht die Möglichkeit, dass die Spyware auf die lokale Festplatte schreibt, die ihre Spuren abdeckt. Sie können dies überprüfen, indem Sie von einem anderen Computer booten und Ihren Mac im Zielmodus starten (er verhält sich wie ein Firewire-Gerät). Scannen Sie das Volume und greifen Sie auf alle Details zu, die Sie können.

Vergleichen Sie zwei Läufe an verschiedenen Tagen mit diff. Dadurch wird die Datei entfernt, die bei beiden Läufen gleich ist. Das wird nicht alles finden. Beispielsweise kann eine Blackhat-App ein Datenträgervolumen als Datei erstellen. Dies wird sich nicht viel ändern, wenn die Black App dafür sorgen kann, dass sich die Daten nicht ändern.

Software kann helfen: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Nützlich, um nach geänderten Dateien / Berechtigungen zu suchen. Ziel ist * ix, nicht sicher, wie es mit erweiterten Attributen umgeht.

Hoffe das hilft.

Sherwood Botsford
quelle
-2

Zum Erkennen und Löschen von Apps können Sie jede Deinstallationssoftware für Macintosh verwenden (z. B. CleanMyMac oder MacKeeper).

user63452
quelle
Wie würde diese Person die Spyware überhaupt finden (bevor sie die Deinstallations-App verwendet)?
MK
Mackeeper ist die schlechteste Software aller Zeiten
Juan