Come controllare il tuo Mac per i rootkit

Se il tuo Mac si comporta in modo strano e sospetti un rootkit, dovrai metterti al lavoro scaricando e scansionando con diversi strumenti. Vale la pena notare che potresti avere un rootkit installato e nemmeno saperlo.

Il principale fattore distintivo che rende speciale un rootkit è che fornisce a qualcuno il controllo remoto del tuo computer a tua insaputa. Una volta che qualcuno ha accesso al tuo computer, può semplicemente spiarti o apportare le modifiche che desidera al tuo computer. Il motivo per cui devi provare diversi scanner è che i rootkit sono notoriamente difficili da rilevare.

Rendering artistico di Rootkit

Per quanto mi riguarda, se ho anche solo il sospetto che ci sia un rootkit installato su un computer client, eseguo immediatamente il backup dei dati ed eseguo un'installazione pulita del sistema operativo. Questo è ovviamente più facile a dirsi che a farsi e non è qualcosa che consiglio a tutti di fare. Se non sei sicuro di avere un rootkit, è meglio usare i seguenti strumenti nella speranza di scoprire il rootkit. Se non viene visualizzato nulla utilizzando più strumenti, probabilmente sei a posto.

Se viene trovato un rootkit, sta a te decidere se la rimozione ha avuto successo o se dovresti semplicemente iniziare da una tabula rasa. Vale anche la pena ricordare che poiché OS X è basato su UNIX , molti scanner utilizzano la riga di comando e richiedono un bel po' di know-how tecnico. Poiché questo blog è rivolto ai principianti, cercherò di attenermi agli strumenti più semplici che puoi utilizzare per rilevare i rootkit sul tuo Mac .

Malwarebyte per Mac

Il programma più intuitivo che puoi utilizzare per rimuovere eventuali rootkit dal tuo Mac è Malwarebytes per Mac(Malwarebytes for Mac) . Non è solo per i rootkit, ma anche per qualsiasi tipo di virus o malware per Mac .

Finestra Malwarebytes

Puoi scaricare la versione di prova gratuita e utilizzarla per un massimo di 30 giorni. Il costo è di $ 40 se desideri acquistare il programma e ottenere la protezione in tempo reale. È il programma più semplice da usare, ma probabilmente non troverà un rootkit davvero difficile da rilevare, quindi se puoi dedicare del tempo a utilizzare gli strumenti della riga di comando di seguito, avrai un'idea molto migliore se o non hai un rootkit.

Cacciatore di rootkit

Rootkit Hunter è il mio strumento preferito da utilizzare su Mac per trovare i rootkit. È relativamente facile da usare e l'output è molto facile da capire. Innanzitutto, vai alla pagina di download(download page) e fai clic sul pulsante di download verde.

Finestra di Rootkit Hunter

Vai avanti e fai doppio clic sul file .tar.gz per decomprimerlo. Quindi apri una finestra di Terminale(Terminal) e vai a quella directory usando il comando CD.

Passare alla directory utilizzando il comando CD

Una volta lì, devi eseguire lo script installer.sh. Per fare ciò, utilizzare il seguente comando:

sudo ./installer.sh – install

Ti verrà chiesto di inserire la tua password per eseguire lo script.

Immettere la password al prompt

Se tutto è andato bene, dovresti vedere alcune righe sull'avvio dell'installazione e sulla creazione delle directory. Alla fine, dovrebbe dire Installazione completata( Installation Complete) .

Installazione in corso

Prima di eseguire lo scanner rootkit effettivo, è necessario aggiornare il file delle proprietà. Per fare ciò, è necessario digitare il seguente comando:

sudo rkhunter – propupd

Invio comando – propupd

Dovresti ricevere un breve messaggio che indica che questo processo ha funzionato. Ora puoi finalmente eseguire il controllo del rootkit effettivo. Per farlo, usa il seguente comando:

sudo rkhunter – check

Invio comando - verifica

La prima cosa che farà è controllare i comandi di sistema. Per la maggior parte, vogliamo gli OK verdi qui e il minor numero possibile di (OKs)avvisi(Warnings) rossi . Una volta completato, premi Invio(Enter) e inizierà a verificare la presenza di rootkit.

Finestra di controllo del rootkit con colore verde Non trovato

Qui vuoi assicurarti che tutti dicano Non trovato(Not Found) . Se qualcosa viene visualizzato in rosso qui, hai sicuramente installato un rootkit. Infine, eseguirà alcuni controlli sul file system, sull'host locale e sulla rete. Alla fine, ti darà un bel riassunto dei risultati.

Riepilogo dei controlli di sistema

Se desideri maggiori dettagli sugli avvisi, digita cd /var/log e quindi digita sudo cat rkhunter.log per vedere l'intero file di registro e le spiegazioni per gli avvisi. Non devi preoccuparti troppo dei comandi o dei messaggi dei file di avvio poiché normalmente sono OK. La cosa principale è che non è stato trovato nulla durante il controllo dei rootkit.

chkrootkit

chkrootkit è uno strumento gratuito che verificherà localmente i segni di un rootkit. Attualmente controlla circa 69 rootkit diversi. Vai al sito, clicca su Download in alto e poi clicca su chkrootkit latest Source tarball per scaricare il file tar.gz.

finestra di download di chrootkit

Vai alla cartella Download sul tuo (Downloads)Mac e fai doppio clic sul file. Questo lo decomprimerà(uncompress it) e creerà una cartella nel Finder chiamata chkrootkit-0.XX . Ora apri una finestra di Terminale(Terminal) e vai alla directory non compressa.

directory chrootkit

Fondamentalmente, fai il cd nella directory Downloads e poi nella cartella chkrootkit. Una volta lì, digita il comando per creare il programma:

sudo make sense

Non è necessario utilizzare il comando sudo qui, ma poiché richiede i privilegi di root per l'esecuzione, l'ho incluso. Prima che il comando funzioni, potresti ricevere un messaggio che dice che gli strumenti di sviluppo devono essere installati per utilizzare il comando make .

Installa la finestra di dialogo degli strumenti per sviluppatori

Vai avanti e fai clic su Installa(Install) per scaricare e installare i comandi. Una volta completato, eseguire nuovamente il comando. Potresti vedere un sacco di avvisi, ecc., ma ignorali. Infine, digiterai il seguente comando per eseguire il programma:

sudo ./chkrootkit

Dovresti vedere un output come quello mostrato di seguito:

output di chrootkit

Verrà visualizzato uno dei tre messaggi di output: non infetto( not infected) , non testato(not tested) e non trovato(not found) . Non infetto significa che non ha trovato alcuna firma del rootkit, non trovato significa che il comando da testare non è disponibile e non testato significa che il test non è stato eseguito per vari motivi.

Si spera(Hopefully) che tutto esca non infetto, ma se vedi qualche infezione, allora la tua macchina è stata compromessa(machine has been compromised) . Lo sviluppatore del programma scrive nel file README che dovresti sostanzialmente reinstallare il sistema operativo per sbarazzarti del rootkit, che è fondamentalmente quello che suggerisco anche io.

Rilevatore di rootkit ESET

ESET Rootkit Detector è un altro programma gratuito molto più facile da usare, ma lo svantaggio principale è che funziona solo su OS X 10.6 , 10.7 e 10.8. Considerando che OS X è quasi alla 10.13 in questo momento, questo programma non sarà utile per la maggior parte delle persone.

Finestra di download di ESET Rootkit Detector

Sfortunatamente, non ci sono molti programmi là fuori che controllano i rootkit su Mac . Ce ne sono molti di più per Windows ed è comprensibile poiché la base di utenti di Windows è molto più ampia. Tuttavia, usando gli strumenti di cui sopra, dovresti avere un'idea decente se un rootkit è installato o meno sulla tua macchina. Divertiti!



Ludovica Marini

About the author

Sono un ingegnere informatico con oltre 10 anni di esperienza nel settore del software. Sono specializzato nella creazione e manutenzione di applicazioni software individuali e aziendali, nonché nello sviluppo di strumenti di sviluppo per piccole imprese e grandi organizzazioni. Le mie capacità risiedono nello sviluppo di una solida base di codice, negli strumenti di debug e test e nel lavorare a stretto contatto con gli utenti finali per garantire che le loro applicazioni funzionino perfettamente.


Related posts