1 votes

MicroMachine avatar

Pouvez-vous dire si votre ordinateur Mac est infesté de logiciels malveillants de la CIA?

Demandé el 23 de Mars, 2017
Quand la question a-t-elle été
241 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Le 23 mars 2017, des nouvelles de la possible infestation par la CIA de macs avec des logiciels malveillants ont été publiées par WikiLeaks.

"DarkSeaSkies" est "un implant qui persiste dans le firmware EFI d'un ordinateur Apple MacBook Air" et se compose de "DarkMatter", "SeaPea" et "NightSkies", respectivement des implants EFI, kernel-space et user-space.

Des documents sur le malware MacOSX "Triton", son infecteur "Dark Mallet" et sa version persistante EFI "DerStake" sont également inclus dans cette publication. Alors que le manuel DerStake1.4 publié aujourd'hui date de 2013, d'autres documents de Vault 7 montrent qu'en 2016 la CIA continue de s'appuyer sur et de mettre à jour ces systèmes et travaille sur la production de DerStarke2.0.

Bien que ces infections ciblent sûrement très peu de personnes, il y a encore très peu de documentation sur ce logiciel malveillant, mais je me demande s'il existe un moyen d'inspecter et de diagnostiquer ce logiciel malveillant (soit avec des logiciels de dépannage de logiciels malveillants "classiques" ou en passant par l'Observateur d'activité, Terminal, etc.).

Demandé el 23 de Mars, 2017 par MicroMachine

1 votes

Avatar de μολὼν.λαβέ

Damn, je lisais juste les docs de WikiLeaks là-dessus aussi. As-tu une localisation de l'archive/code source? Je suggérerais que pour cela, tu aies besoin d'augmenter un débogueur et regarder ce qui est actuellement mappé en mémoire. Beaucoup de ce code semble pouvoir être caché de l'utilisateur en se greffant sur des libs open-source comme openssl. Apple n'aide pas en laissant tant de merdouilles tourner en mémoire, que j'ai un cron job qui s'exécute toutes les 15 minutes pour effectuer une purge.

Commenté el 24 de Mars, 2017 par μολὼν.λαβέ

Réponse

Trop de publicités?

1voto

μολὼν.λαβέ avatar
μολὼν.λαβέ Points 158

Kaspery Lab a publié quelques règles Yara pour des malwares spécifiques.

rule apt_equation_exploitlib_mutexes { meta:
copyright = “Kaspersky Lab”
description = “Règle pour détecter la bibliothèque d'exploitation du groupe Equation” version = “1.0”
last_modi é = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$mz=“MZ”
$a1=“prkMtx” wide $a2=“cnFormSyncExFBC” wide $a3=“cnFormVoidFBC” wide $a4=“cnFormSyncExFBC” $a5=“cnFormVoidFBC”
condition:
(($mz at 0) and any of ($a*)) }

rule apt_equation_doublefantasy_genericresource { meta:
copyright = “Kaspersky Lab”
description = “Règle pour détecter la con g codée DoubleFantasy” version = “1.0”
last_modi é = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$mz=“MZ”
$a1={06 00 42 00 49 00 4E 00 52 00 45 00 53 00} $a2=“yyyyyyyyyyyyyyyy”
$a3=“002”
condition:
(($mz at 0) and all of ($a*)) and  lesize < 500000 }

rule apt_equation_equationlaser_runtimeclasses { meta:
copyright = “Kaspersky Lab”
description = “Règle pour détecter le malware EquationLaser” version = “1.0”
last_modi é = “2015-02-16”
reference = “https://securelist.com/blog/”
strings: $a1=“?a73957838_2@@YAXXZ” $a2=“?a84884@@YAXXZ” $a3=“?b823838_9839@@YAXXZ” $a4=“?e747383_94@@YAXXZ” $a5=“?e83834@@YAXXZ” $a6=“?e929348_827@@YAXXZ”
condition: any of them
}

rule apt_equation_cryptotable { meta:
copyright = “Kaspersky Lab”
description = “Règle pour détecter la bibliothèque de cryptage utilisée dans les malwares du groupe Equation”
version = “1.0”
last_modi é = “2015-02-16”
reference = “https://securelist.com/blog/”
strings:
$a={37 DF E8 B6 C7 9C 0B AE 91 EF F0 3B 90 C6 80 85 5D 19 4B 45 44 12 3C E2 0D 5C 1C 7B C4 FF D6 05 17 14 4F 03 74 1E 41 DA 8F 7D DE 7E 99 F1 35 AC B8 46 93 CE 23 82 07 EB 2B D4 72 71 40 F3 B0 F7 78 D7 4C D1 55 1A 39 83 18 FA E1 9A 56 B1 96 AB A6 30 C5 5F BE 0C 50 C1}
condition: $a
}
Répondu el 24 de Mars, 2017 par μολὼν.λαβέ (158 Points )

1 votes

Avatar de MicroMachine

Est-ce à utiliser dans le Terminal? Je ne suis pas super doué avec ça, pourriez-vous me donner un guide simple? Merci!

Commenté el 24 de Mars, 2017 par MicroMachine

0 votes

Avatar de MicroMachine

Pouvez-vous développer votre réponse pour que je puisse comprendre comment l'essayer et éventuellement l'accepter? Merci!

Commenté el 21 de Avril, 2017 par MicroMachine

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X