10.11 El Capitan Malware type trojan ? comment le trouver ...
- Créateur du sujet kirm
- Date de début
Hélas, ce dernier (réf. les filles) disparaissait un certain dimanche soir d'octobre 1973, mais n'en parlez pas à âme qui vive, de grâce.
bonjour,
je suis d'accord avec vous. mise a part le cryptage du disque que je n'avais pas fait au départ (cf rapport posté au tout début de cette discussion) tout le reste a été suivi à la lettre:
- mes mots de passe: ne sont pas stockés, comportent plusieurs caractères et je les change régulièrement.
- mes comptes sont accessible par mot de passe et validation par sms. (même si je pense qu'un reset n'utilise pas la validation en deux étapes - a vérifier)
- les infos qui fuitent concernent ce que je fais devant mon ordi (conversation) ou ce que je tape.
j'ai pensé au départ aux URL une personne intercepte le flux et par la lecture des url (Youtube, Facebook ..) arrive a savoir ce que je consulte.
concernant les mails soit il s'agit des cameras aux endroits public que je fréquente soit une personne a accès a ce que je tape.
je prends soin d'activer les logs sur les différents comptes pour identifier les connexions suspectes.
je vais lancer etrecheck sur ma seconde partition celle qui était concernée au départ par les fuites d'informations pour vous laisser le soin de l'analyser.
salutations
et s'il s'agissait tout simplement d'un nouveau virus qui n'est pas encore détecté par les outils existant ?
est-ce qu'il suffit de bénir etrecheck et de croire qu'il fait tout pour se rassurer ?
le raisonnement est beaucoup plus simple qu'imaginer des extraterrestre ... parait qu'il y a une belle maison d'hôtes ou l'on peut louer une chambre avec vue sur un lac.
je ne m'y connait pas assez sur le partitionnement des disques, j'ai donc du mal a suivre la conversation sur ce sujet.
voici ce que j'ai fait .. :
1/ je n'avais qu'une seule partition sur mon mac, j'ai téléchargé l'OS de l'apple store depuis cette partition que je suppose infectée par un virus (j'ai découvert par la suite un trojan sortie en 2011 qu'aucun des anti virus connu n'avait découvert malgré les mises a jour)
2/ j'ai créé une partition pour pourvoir y installer l'os .. a ce moment là le disque était accessible depuis la partition principale (la première) .. c'est pourquoi j'ai supposé que le virus pouvait se propager a ce moment la
3/ je n'utilise que la 2ieme partition pour aller sur le net la seconde étant consacrée aux projets en local.
pour finir les partitions sont complètement étanchent et cryptées.
mon hypothèse: un hacker avait scanné mon ordi lorsque j'avais une seule partition depuis un wifi public et le trojan trouvé par la suite avait laissé une porte dérobée pour y introduire un nouveau virus pas encore répertorié ou fait maison. Il se peut aussi qu'un des fichiers envoyés par mail contient un virus.
l'objectif est de trouver des experts un peu curieux (et pas forcément des "hacker de l'underground") pour faire une analyse et poser des balises ou des outils pour analyser le comportement des process et pas que du réseau, car il se peut qu'un service dédié a la transmission d'info soit activé une fois par jour pendant un lapse de temps.
c'est mon analyse je ne suis pas expert dans le mac en réseau mais j'essaye d'analyser la méthode utilisée.
voici ce que j'ai fait .. :
1/ je n'avais qu'une seule partition sur mon mac, j'ai téléchargé l'OS de l'apple store depuis cette partition que je suppose infectée par un virus (j'ai découvert par la suite un trojan sortie en 2011 qu'aucun des anti virus connu n'avait découvert malgré les mises a jour)
2/ j'ai créé une partition pour pourvoir y installer l'os .. a ce moment là le disque était accessible depuis la partition principale (la première) .. c'est pourquoi j'ai supposé que le virus pouvait se propager a ce moment la
3/ je n'utilise que la 2ieme partition pour aller sur le net la seconde étant consacrée aux projets en local.
pour finir les partitions sont complètement étanchent et cryptées.
mon hypothèse: un hacker avait scanné mon ordi lorsque j'avais une seule partition depuis un wifi public et le trojan trouvé par la suite avait laissé une porte dérobée pour y introduire un nouveau virus pas encore répertorié ou fait maison. Il se peut aussi qu'un des fichiers envoyés par mail contient un virus.
l'objectif est de trouver des experts un peu curieux (et pas forcément des "hacker de l'underground") pour faire une analyse et poser des balises ou des outils pour analyser le comportement des process et pas que du réseau, car il se peut qu'un service dédié a la transmission d'info soit activé une fois par jour pendant un lapse de temps.
c'est mon analyse je ne suis pas expert dans le mac en réseau mais j'essaye d'analyser la méthode utilisée.
Où l'on voit qu'il faut toujours avoir un pare-feu actif et bloquant toutes les connexions entrantes : on ne sait pas qui est son voisin de ouifi, à la maison comme à l'extérieur.
De même, on gagne une couche de sécurité supplémentaire en ayant un compte usuel non administrateur.
Malgré tout, si le scénario expliqué ci-dessus a été appliqué contre toi, soit tu n'as pas de chance, soit tu détiens un secret sans le savoir, soit tu as vraiment énervé un cracker (pas le biscuit apéritif, bien sûr).
De même, on gagne une couche de sécurité supplémentaire en ayant un compte usuel non administrateur.
Malgré tout, si le scénario expliqué ci-dessus a été appliqué contre toi, soit tu n'as pas de chance, soit tu détiens un secret sans le savoir, soit tu as vraiment énervé un cracker (pas le biscuit apéritif, bien sûr).
ou bien des gens s'intéressent a ma vie privée. ce qui est très a la mode en ce moment.
voici l'un des derniers virus trouvé: https://securelist.com/blog/research/75990/the-missing-piece-sophisticated-os-x-backdoor-discovered/
voici l'un des derniers virus trouvé: https://securelist.com/blog/research/75990/the-missing-piece-sophisticated-os-x-backdoor-discovered/
Tu noteras que LittleSnitch devrait repérer son activité (meme s'il utilise un user agent correspondant à une application communiquant normalement sur le port 80, l'adresse IP avec laquelle il communique, elle, n'est pas "normale" et LittleSnitch devrait le signaler), et EtreCheck aurait listé un plist inconnu de lui dans le dossier /launchagent
Il faut comprendre que MacOS X inspecte une liste parfaitement définie de répertoires pour y trouver les processus à lancer (ce que liste EtreCheck). Sauf à modifier MacOS X (ce qui peut s'envisager.... d'où le nouveau Security Integrity Protection d'El Capitan qui empêche toute modification de l'OS), un malware laisse des traces dans ces répertoires avec a minima un fichier qui commande le lancement de son programme principal (qui lui peut être placé ailleurs sur le Mac).
Il faut comprendre que MacOS X inspecte une liste parfaitement définie de répertoires pour y trouver les processus à lancer (ce que liste EtreCheck). Sauf à modifier MacOS X (ce qui peut s'envisager.... d'où le nouveau Security Integrity Protection d'El Capitan qui empêche toute modification de l'OS), un malware laisse des traces dans ces répertoires avec a minima un fichier qui commande le lancement de son programme principal (qui lui peut être placé ailleurs sur le Mac).
le virus cité est un exemple. je n'ai jamais dit qu'il était sur mon ordi. c'est juste pour montrer qu'il y a des virus au comportement similaire à ce que je décris et qui sont détectés régulièrement. j'ai bien évidemment vérifié avant de poster le message.
ce genre de virus existe et ce sont probablement des gens mal intentionnés qui les créés et les diffusent. ils ne sont pas diffusés la veille de leur découverte a mon avis ca fait plusieurs mois que celui cité se baladait sur le net pour récupérer des données.
donc c'est un fait cela existe et si Etrecheck et LittleSnitch suffisait pour les détecter alors nous vivrions dans le meilleur des monde.
déjà pour celui cité dans l'exemple rien et absolument rien ne laisse penser qu'il s'agit d'un virus, il a fallut décompiler le code pour analyser son comportement et comprendre ce qu'il faisait.
pour un débutant comme moi s'il suffisait d'utiliser les deux outils pour être tranquille alors pourquoi ne pas fusionner les deux outils et en faire un qui détecterait et signalerait de façon automatique tout comportement suspect puis enverrait un rapport a un centre d'analyse. Puis le résultat serait communiqué sous forme de notification a l'utilisateur ?
je vais contacter des experts en sécu et vous ferais si vous le souhaitez un compte rendu a chaque avancée.
encore merci d'avoir pris le temps de répondre a mes questions
Ce que je veux expliquer c'est que ces Malwares comme celui que tu signales, laissent des traces avec des plist dans l'un des dossiers passés en revue par EtreCheck et dans les flux sortants surveillés par LittleSnitch.
Tu nous a demandé comment les détecter, on te la expliqué.
Ensuite pour savoir exactement ce qu'ils font, alors oui il faut les décortiquer comme l'a fait kapersky
Mais s'il n'y a rien d'anormal dans les dossiers que passe en revue EtreCheck, comme ce sont les seuls que prend en compte OS X pour lancer des programmes d'arrière plan, alors je ne vois pas comment un programme masqué pourrait tourner sur ton Mac.
Mais je ne suis pas un spécialiste, et comme deja suggéré il vaut mieux que tu contactes des éditeurs d'antiviraux qui seront heureux d'inspecter ton Mac pour y trouver un nouveau Malware.
Tu nous a demandé comment les détecter, on te la expliqué.
Ensuite pour savoir exactement ce qu'ils font, alors oui il faut les décortiquer comme l'a fait kapersky
Mais s'il n'y a rien d'anormal dans les dossiers que passe en revue EtreCheck, comme ce sont les seuls que prend en compte OS X pour lancer des programmes d'arrière plan, alors je ne vois pas comment un programme masqué pourrait tourner sur ton Mac.
Mais je ne suis pas un spécialiste, et comme deja suggéré il vaut mieux que tu contactes des éditeurs d'antiviraux qui seront heureux d'inspecter ton Mac pour y trouver un nouveau Malware.
