Tartalomjegyzék:
Videó: MacBook Air VS MacBook Pro VS Mac mini (M1, 2020) - The BEST One for You! (November 2024)
tartalom
- Ne hagyja, hogy a RAT-ok eltérítsék a Mac-ét!
- A nukleáris lehetőség
Pártomnak és nekem hét kedvtelésből tartott patkányunk van otthon, és szeretlek mindegyiket. De van egyfajta patkány, amelyet szívesen tartok távol otthonomból - és a számítógépemet -, és ez egy Remote Access Trojan. Ezek a csúnya, rosszindulatú alkalmazások lehetővé teszik a támadóknak, hogy úgy használják a számítógépet, mintha közvetlenül a számítógép előtt ülnének, és teljes hozzáférést biztosítanak fájljaikhoz, hálózatához és személyes adataihoz.
RAT-ok a Mac-ben
Néhány héttel ezelőtt kaptam egy e-mailt egy olvasótól, aki éppen visszatért egy külföldi utazásból. A hazaérkezés óta észrevette, hogy MacBook furcsán viselkedik. Megállapította, hogy néhány beállítását megváltoztatták, és ami még furcsa, a kurzor néha önmagában repül el. A végső szalma akkor érkezett, amikor olvasónk egy önálló e-mailt láttunk, és a számítógép hangszóróin keresztül hallotta, hogy valaki egy adott cím kereséséről beszél.
Beszéltünk a Bitdefender kutatóival, és az olvasónk leírása alapján úgy vélik, hogy a HellRTS, a RAT egyik típusa hibás. Ha ez a helyzet, akkor az olvasónk csak egy darabot tudott megtenni abban, amit ez a "komplex malware fejlesztőkészlet" képes megtenni. Sajnos a Bitdefender kutatói szerint nem lehetnek biztosak abban, hogy megvizsgálják a fertőzött gépet.
Az AVAST Mac malware elemzője, Kalnai Péter azt mondta nekem, hogy az OS X legtöbb RAT-jának korlátozott funkcionalitása van, csak a Windows-os társaikhoz képest. "Ezért feltételezhető, hogy néhány platformközi Java bot az ügy mögött áll" - mondta Kalnai.
Az olvasó által leírt tünetek extrém (és bizarr!). A RAT sokkal finomabb módon használható, sokkal kevesebb nyomot adva ki a számítógépén. Az ESET kutatói azt mondták nekem, hogy a Mac felhasználóknak vigyázniuk kell arra, hogy számítógépük hirtelen lelassuljon, mivel a rosszindulatú programok megszakítják a processzor teljesítményét.
Meglepő módon, Sophos vezető kutatója, Chester Wisniewski azt mondta, hogy a RAT-ok a választott eszközök a Mac támadására. "A PC-felhasználókat elsősorban az opportunista, pénzszerző és a spamszemét-szemét sújtja" - magyarázta Wisniewski. "Ugyanakkor a Mac-felhasználókat elsősorban az adatlopók és a távoli elérésű trójaiak célozzák meg."
Hívja a pusztítót
A RAT-okkal kapcsolatos probléma az, hogy lehetővé teszik a támadóknak, hogy apró változtatásokat hajtsanak végre a számítógépeden anélkül, hogy még rájönnének. A támadó telepíthet egy keyloggert, elkaphatja az összes jelszavát, vagy telepíthet további rosszindulatú programokat a számítógépére. A fertőzött számítógép a RAT telepítésének ideje alatt sebezhető volt, tehát nem lehet megmondani, milyen baj történt.
Érdekes módon Kalnai javasolta, hogy az első cselekvés egyszerűen a számítógép újraindítása legyen. "A rendszerindítás egyszerű módja annak, hogy megszabaduljon egy olyan fertőzéstől, amely nem tartalmaz mechanizmust a perzisztencia szempontjából" - magyarázta. Olvasóink számára sajnos, egy ilyen egyszerű megoldás nem volt elég.
Ha készen áll a RAT-probléma megoldására, válassza le a fertőzött számítógépet az internetről. A RAT-ek csak akkor működnek, ha a fertőzött számítógép online hozzáférhet, tehát a számítógép elkülönítése nagyobb ellenőrzést biztosít. Érdemes lehet kikapcsolni a Wi-Fi hálózatot, miközben a fertőzött eszközön dolgozik, csak hogy megbizonyosodjon arról, hogy nincs-e csatlakoztatva. Ha le kell töltenie a fertőzött géphez tartozó szoftvert, használjon valaki más számítógépét, és másolja át a szükséges fájlokat egy tiszta tárolóeszközre - lehetőleg egy újra, vagy az AV szoftverrel szkennelt fájlra.
A következő lépés, hogy biztonsági másolatot készítsünk a Mac-ről, de ez problémát jelent, mivel a számítógépen kellemetlen meglepetések rejthetnek magukat. Megfontolhatja a Kaspersky, Roberto Martinez kutató tanácsának követését, és csak a kritikus információról készíthet biztonsági másolatot, a rendszerfájlokat pedig nem. Ha már készített biztonsági másolatot a számítógépére a beépített időgéppel, akkor szinte biztos, hogy valami csúnya itt van. Hamarosan foglalkozunk ezzel.
Ezután próbáljon telepíteni egy víruskereső szoftvert a RAT megsemmisítésére. A PCMag hamarosan alapos áttekintést készít az OS X AV segédprogramokról, ám időközben sok biztonsági cég erős Mac-kínálatot kínál. Az OS X antivírusok listáján szereplő bármelyik terméknek meg kell tennie a munkát. Futtassa a választott AV eszközt, és kövesse annak lépéseit a megtalált rosszindulatú programok eltávolításához.
Mielőtt bármilyen információt megkísérelne letölteni a biztonsági másolatból, szkennelje be a biztonsági másolatot két különféle AV eszköz segítségével, arra az esetre, ha az egyik hiányzik valami. Ezután szelektíven állítsa vissza a fájlokat, elkerülve bármit, ami gyanúsnak tűnik. Sajnos a Time Machine egy kattintással történő visszaállítási szolgáltatásának használata nem a legbiztosabb. Ha kész, törölje le a biztonsági másolatot, és kezdje el újra.
A haladóbb felhasználók megkísérlik felfedezni a RAT perzisztencia mechanizmusát, és törölhetik ezeket a fájlokat. Kalnai javasolja, hogy keressen egy indító fájlt a
/ Library / LaunchAgents / könyvtár, vagy keresse meg a "setenv DYLD_INSERT_LIBRARIES sort"
beillesztve az /etc/launchd.conf fájlba. Természetesen az ilyen erőfeszítések valószínűleg meghaladják az átlagfelhasználót. Inkább megpróbálom megtenni az AV-t, mielőtt becsapnák a Mac belsõ belsejét.
