Comment détecter un logiciel espion/keylogger ?

Tout rootkit digne de ce nom est pratiquement indétectable sur un système en fonctionnement car il s'introduit dans le noyau et/ou remplace les binaires du système pour se dissimuler. En fait, ce que vous voyez n'est pas fiable parce que le système ne l'est pas. Ce que vous devez faire, c'est éteindre le système, connecter un disque de démarrage externe (ne le connectez pas au système en cours d'exécution), puis démarrer le système à partir d'un disque externe et rechercher les programmes suspects.

Je ferai l'hypothèse que vous avez déjà vérifié minutieusement toutes les RAT les plus courants sont éteints ou morts (tous les partages, ARD, Skype, VNC ).

1. Sur un Mac externe et totalement fiable fonctionnant également sous 10.6.8, installez l'un (ou les deux) de ces 2 détecteurs de rootkits :

   1. rkhunter il s'agit d'une tradition tgz pour construire et installer

   2. chkrootkit que vous pouvez installer via brew o macports , par exemple :

      port install chkrootkit

2. Testez-les sur ce Mac fiable.

3. Sauvegardez-les sur une clé USB.

4. Branchez votre clé sur votre système suspecté de fonctionner en mode normal avec tout comme d'habitude et exécutez-les.

Un moyen sûr de voir si quelque chose de suspect est en cours d'exécution est d'ouvrir l'application Activity Monitor, que vous pouvez ouvrir à l'aide de Spotlight ou en vous rendant à l'adresse suivante Applications > Utilitaires > Moniteur d'activité . Une application peut se cacher, mais si elle fonctionne sur l'ordinateur, elle apparaîtra certainement dans le moniteur d'activité. Certains éléments portent des noms bizarres, mais ils sont censés être en cours d'exécution ; donc, si vous n'êtes pas sûr de ce que c'est, cherchez sur Google avant de cliquer. Processus d'abandon ou vous pourriez désactiver quelque chose d'important.

Si vous avez été piraté, le keylogger doit le signaler. Il peut le faire immédiatement, ou le stocker localement et le transmettre périodiquement à une destination réseau.

Votre meilleure chance est de dénicher un vieil ordinateur portable, idéalement avec deux ports Ethernet ou, à défaut, avec une carte réseau PCMCIA. Installez un système BSD ou Linux dessus. (Je recommanderais OpenBSD, puis FreeBSD juste à cause de la gestion plus facile).

Configurez l'ordinateur portable pour qu'il agisse comme un pont -- tous les paquets passent à travers. Lancez tcpdump sur le trafic aller et retour. Ecrivez tout sur un lecteur flash. Changez périodiquement de disque, emportez le disque rempli chez vous et utilisez ethereal ou snort ou similaire pour parcourir le fichier de vidage et voir si vous trouvez quelque chose d'étrange.

Vous cherchez du trafic vers une combinaison inhabituelle d'IP et de port. C'est difficile. Je ne connais pas de bons outils pour aider à trier l'ivraie.

Il est possible que le logiciel espion écrive sur le disque local pour effacer ses traces. Vous pouvez vérifier cela en démarrant à partir d'une autre machine, en démarrant votre Mac en mode cible (il se comporte comme un périphérique Firewire) et en analysant le volume, en saisissant tous les détails que vous pouvez.

Comparez deux exécutions de ce programme à des jours différents en utilisant diff. Cela permet d'éliminer les fichiers qui sont identiques dans les deux exécutions. Cela ne trouvera pas tout. Par exemple, une application Blackhat peut créer un volume de disque comme un fichier. Cela ne changera pas grand-chose si l'application noire peut faire en sorte que les dates ne changent pas.

Les logiciels peuvent vous aider : http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Utile pour surveiller les fichiers/permissions modifiés. Destiné à *ix, je ne sais pas comment il gère les attributs étendus.

J'espère que cela vous aidera.

Pour détecter et supprimer les applications, vous pouvez utiliser n'importe quel logiciel de désinstallation pour Macintosh (comme CleanMyMac ou MacKeeper).