Πώς να ελέγξετε το Mac σας για Rootkits

Εάν το Mac σας λειτουργεί περίεργα και υποπτεύεστε ότι έχετε ένα rootkit, τότε θα πρέπει να ξεκινήσετε τη δουλειά με τη λήψη και τη σάρωση με πολλά διαφορετικά εργαλεία. Αξίζει να σημειωθεί ότι θα μπορούσατε να έχετε εγκαταστήσει ένα rootkit και να μην το γνωρίζετε καν.

Ο κύριος παράγοντας διάκρισης που κάνει ένα rootkit ξεχωριστό είναι ότι δίνει σε κάποιον διαχειριστή τον έλεγχο του υπολογιστή σας από απόσταση χωρίς να το γνωρίζετε. Μόλις κάποιος έχει πρόσβαση στον υπολογιστή σας, μπορεί απλώς να σας κατασκοπεύσει ή να κάνει οποιαδήποτε αλλαγή θέλει στον υπολογιστή σας. Ο λόγος για τον οποίο πρέπει να δοκιμάσετε πολλούς διαφορετικούς σαρωτές είναι ότι τα rootkits είναι γνωστό ότι είναι δύσκολο να εντοπιστούν.

Καλλιτεχνική απόδοση του Rootkit

Για μένα, αν υποψιάζομαι ότι υπάρχει εγκατεστημένο rootkit σε υπολογιστή-πελάτη, δημιουργώ αμέσως αντίγραφα ασφαλείας των δεδομένων και πραγματοποιώ μια καθαρή εγκατάσταση του λειτουργικού συστήματος. Αυτό είναι προφανώς πιο εύκολο να ειπωθεί παρά να γίνει και δεν είναι κάτι που προτείνω σε όλους να κάνουν. Εάν δεν είστε σίγουροι αν έχετε rootkit, είναι καλύτερο να χρησιμοποιήσετε τα παρακάτω εργαλεία με την ελπίδα να ανακαλύψετε το rootkit. Εάν δεν προκύψει τίποτα χρησιμοποιώντας πολλά εργαλεία, μάλλον είστε εντάξει.

Εάν βρεθεί ένα rootkit, εναπόκειται σε εσάς να αποφασίσετε εάν η αφαίρεση ήταν επιτυχής ή αν θα πρέπει απλώς να ξεκινήσετε από μια καθαρή πλάκα. Αξίζει επίσης να αναφέρουμε ότι δεδομένου ότι το OS X βασίζεται στο UNIX , πολλοί από τους σαρωτές χρησιμοποιούν τη γραμμή εντολών και απαιτούν αρκετή τεχνική τεχνογνωσία. Δεδομένου ότι αυτό το ιστολόγιο απευθύνεται σε αρχάριους, θα προσπαθήσω να παραμείνω στα πιο εύκολα εργαλεία που μπορείτε να χρησιμοποιήσετε για να εντοπίσετε rootkits στο Mac σας .

Malwarebytes για Mac

Το πιο φιλικό προς το χρήστη πρόγραμμα που μπορείτε να χρησιμοποιήσετε για να αφαιρέσετε τυχόν rootkits από το Mac σας είναι το Malwarebytes για Mac(Malwarebytes for Mac) . Δεν είναι μόνο για rootkits, αλλά και για κάθε είδους ιούς Mac ή κακόβουλο λογισμικό.

Παράθυρο Malwarebytes

Μπορείτε να κατεβάσετε τη δωρεάν δοκιμή και να τη χρησιμοποιήσετε για έως και 30 ημέρες. Το κόστος είναι 40 $ εάν θέλετε να αγοράσετε το πρόγραμμα και να λάβετε προστασία σε πραγματικό χρόνο. Είναι το πιο εύκολο στη χρήση πρόγραμμα, αλλά επίσης πιθανότατα δεν πρόκειται να βρει ένα πραγματικά δύσκολο rootkit, οπότε αν μπορείτε να αφιερώσετε χρόνο για να χρησιμοποιήσετε τα παρακάτω εργαλεία γραμμής εντολών, θα έχετε μια πολύ καλύτερη ιδέα για το αν ή δεν έχεις rootkit.

Rootkit Hunter

Το Rootkit Hunter(Rootkit Hunter) είναι το αγαπημένο μου εργαλείο για χρήση στο Mac για την εύρεση rootkits. Είναι σχετικά εύκολο στη χρήση και η έξοδος είναι πολύ εύκολα κατανοητή. Αρχικά, μεταβείτε στη σελίδα λήψης(download page) και κάντε κλικ στο πράσινο κουμπί λήψης.

Παράθυρο Rootkit Hunter

Προχωρήστε και κάντε διπλό κλικ στο αρχείο .tar.gz για να το αποσυσκευάσετε. Στη συνέχεια, ανοίξτε ένα παράθυρο Terminal και μεταβείτε σε αυτόν τον κατάλογο χρησιμοποιώντας την εντολή CD.

Πλοηγηθείτε στον κατάλογο χρησιμοποιώντας την εντολή CD

Μόλις φτάσετε εκεί, πρέπει να εκτελέσετε το σενάριο installer.sh. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:

sudo ./installer.sh – install

Θα σας ζητηθεί να εισαγάγετε τον κωδικό πρόσβασής σας για να εκτελέσετε το σενάριο.

Εισαγάγετε τον κωδικό πρόσβασης όταν σας ζητηθεί

Εάν όλα πήγαν καλά, θα πρέπει να δείτε μερικές γραμμές σχετικά με την έναρξη της εγκατάστασης και τη δημιουργία καταλόγων. Στο τέλος, θα πρέπει να λέει η εγκατάσταση Ολοκληρώθηκε( Installation Complete) .

Έναρξη εγκατάστασης

Πριν εκτελέσετε τον πραγματικό σαρωτή rootkit, πρέπει να ενημερώσετε το αρχείο ιδιοτήτων. Για να το κάνετε αυτό, πρέπει να πληκτρολογήσετε την ακόλουθη εντολή:

sudo rkhunter – propupd

Εισαγάγετε την εντολή – propupd

Θα πρέπει να λάβετε ένα σύντομο μήνυμα που θα υποδεικνύει ότι αυτή η διαδικασία λειτούργησε. Τώρα μπορείτε επιτέλους να εκτελέσετε τον πραγματικό έλεγχο του rootkit. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:

sudo rkhunter – check

Εισαγωγή εντολής – έλεγχος

Το πρώτο πράγμα που θα κάνει είναι να ελέγξει τις εντολές του συστήματος. Ως επί το πλείστον, θέλουμε πράσινα ΟΚ(OKs) εδώ και όσο το δυνατόν λιγότερες κόκκινες προειδοποιήσεις(Warnings) . Μόλις ολοκληρωθεί, θα πατήσετε Enter και θα αρχίσει να ελέγχει για rootkits.

Παράθυρο ελέγχου του Rootkit με πράσινο Δεν βρέθηκε

Εδώ θέλετε να βεβαιωθείτε ότι όλες θα λένε Δεν βρέθηκε(Not Found) . Αν κάτι εμφανιστεί κόκκινο εδώ, σίγουρα έχετε εγκαταστήσει ένα rootkit. Τέλος, θα κάνει μερικούς ελέγχους στο σύστημα αρχείων, τον τοπικό κεντρικό υπολογιστή και το δίκτυο. Στο τέλος, θα σας δώσει μια ωραία περίληψη των αποτελεσμάτων.

Σύνοψη ελέγχων συστήματος

Εάν θέλετε περισσότερες λεπτομέρειες σχετικά με τις προειδοποιήσεις, πληκτρολογήστε cd /var/log και μετά πληκτρολογήστε sudo cat rkhunter.log για να δείτε ολόκληρο το αρχείο καταγραφής και τις επεξηγήσεις για τις προειδοποιήσεις. Δεν χρειάζεται να ανησυχείτε πολύ για τις εντολές ή τα μηνύματα των αρχείων εκκίνησης, καθώς αυτά είναι συνήθως εντάξει. Το κύριο πράγμα είναι ότι δεν βρέθηκε τίποτα κατά τον έλεγχο για rootkits.

chkrootkit

Το chkrootkit(chkrootkit) είναι ένα δωρεάν εργαλείο που θα ελέγχει τοπικά για σημάδια ενός rootkit. Αυτή τη στιγμή ελέγχει για περίπου 69 διαφορετικά rootkit. Μεταβείτε στον ιστότοπο, κάντε κλικ στο Λήψη(Download) στο επάνω μέρος και, στη συνέχεια, κάντε κλικ στο chkrootkit πιο πρόσφατο Source tarball(chkrootkit latest Source tarball) για λήψη του αρχείου tar.gz.

Παράθυρο λήψης chrootkit

Μεταβείτε στο φάκελο " Λήψεις " στο (Downloads)Mac σας και κάντε διπλό κλικ στο αρχείο. Αυτό θα το αποσυμπιέσει(uncompress it) και θα δημιουργήσει έναν φάκελο στο Finder που ονομάζεται chkrootkit-0.XX . Τώρα ανοίξτε ένα παράθυρο τερματικού(Terminal) και μεταβείτε στον ασυμπίεστο κατάλογο.

κατάλογο chrootkit

Βασικά, κάνετε cd στον κατάλογο Λήψεις(Downloads) και μετά στο φάκελο chkrootkit. Μόλις φτάσετε εκεί, πληκτρολογήστε την εντολή για να φτιάξετε το πρόγραμμα:

sudo make sense

Δεν χρειάζεται να χρησιμοποιήσετε την εντολή sudo εδώ, αλλά επειδή απαιτεί δικαιώματα root για να εκτελεστεί, την έχω συμπεριλάβει. Προτού λειτουργήσει η εντολή, ενδέχεται να λάβετε ένα μήνυμα που λέει ότι πρέπει να εγκατασταθούν τα εργαλεία προγραμματιστή για να χρησιμοποιήσετε την εντολή make .

Διάλογος Εγκατάσταση εργαλείων προγραμματιστή

Προχωρήστε και κάντε κλικ στο Εγκατάσταση(Install) για να πραγματοποιήσετε λήψη και εγκατάσταση των εντολών. Μόλις ολοκληρωθεί, εκτελέστε ξανά την εντολή. Μπορεί να δείτε ένα σωρό προειδοποιήσεις, κ.λπ., αλλά απλώς αγνοήστε τις. Τέλος, θα πληκτρολογήσετε την ακόλουθη εντολή για να εκτελέσετε το πρόγραμμα:

sudo ./chkrootkit

Θα πρέπει να δείτε κάποια έξοδο όπως αυτό που φαίνεται παρακάτω:

έξοδος του chrootkit

Θα δείτε ένα από τα τρία μηνύματα εξόδου: δεν έχει μολυνθεί( not infected) , δεν έχει δοκιμαστεί(not tested) και δεν βρέθηκε(not found) . Δεν έχει μολυνθεί σημαίνει ότι δεν βρήκε υπογραφή rootkit, δεν βρέθηκε σημαίνει ότι η εντολή προς δοκιμή δεν είναι διαθέσιμη και ότι δεν έχει δοκιμαστεί σημαίνει ότι η δοκιμή δεν πραγματοποιήθηκε για διάφορους λόγους.

Ας ελπίσουμε ότι(Hopefully) όλα βγαίνουν μη μολυσμένα, αλλά αν δείτε κάποια μόλυνση, τότε το μηχάνημά σας έχει παραβιαστεί(machine has been compromised) . Ο προγραμματιστής του προγράμματος γράφει στο αρχείο README ότι βασικά θα πρέπει να επανεγκαταστήσετε το λειτουργικό σύστημα για να απαλλαγείτε από το rootkit, κάτι που βασικά προτείνω και εγώ.

ESET Rootkit Detector

Το ESET Rootkit Detector(ESET Rootkit Detector) είναι ένα άλλο δωρεάν πρόγραμμα που είναι πολύ πιο εύκολο στη χρήση, αλλά το κύριο μειονέκτημα είναι ότι λειτουργεί μόνο σε OS X 10.6 , 10.7 και 10.8. Λαμβάνοντας υπόψη ότι το OS X(OS X) είναι σχεδόν στο 10.13 αυτή τη στιγμή, αυτό το πρόγραμμα δεν θα είναι χρήσιμο για τους περισσότερους ανθρώπους.

Παράθυρο λήψης ESET Rootkit Detector

Δυστυχώς, δεν υπάρχουν πολλά προγράμματα εκεί έξω που ελέγχουν για rootkits σε Mac . Υπάρχουν πολλά περισσότερα για Windows και αυτό είναι κατανοητό αφού η βάση χρηστών των Windows είναι πολύ μεγαλύτερη. Ωστόσο, χρησιμοποιώντας τα παραπάνω εργαλεία, θα πρέπει να έχετε μια αξιοπρεπή ιδέα για το εάν είναι εγκατεστημένο ένα rootkit στο μηχάνημά σας. Απολαμβάνω!



About the author

Είμαι προγραμματιστής λογισμικού με πάνω από 10 χρόνια εμπειρία. Ειδικεύομαι στον προγραμματισμό Mac και έχω γράψει πολλές χιλιάδες γραμμές κώδικα για διάφορες εφαρμογές Mac, συμπεριλαμβανομένων, ενδεικτικά, των: TextEdit, GarageBand, iMovie και Inkscape. Έχω επίσης εμπειρία με ανάπτυξη Linux και Windows. Οι δεξιότητές μου ως προγραμματιστής μου επιτρέπουν να γράφω υψηλής ποιότητας, ολοκληρωμένα σεμινάρια για διάφορες πλατφόρμες ανάπτυξης λογισμικού - από macOS έως Linux - καθιστώντας τα σεμινάρια μου την τέλεια επιλογή για όσους θέλουν να μάθουν περισσότερα για τα εργαλεία που χρησιμοποιούν.



Related posts