infección por xcodeghost en un dispositivo byod

Navega tus respuestas
2

Detectamos el tráfico de red de un dispositivo infectado con xcodeghost que intentaba alcanzar un comando de bot conocido y una dirección de control. Obviamente, eliminamos el dispositivo de la red. El usuario eliminó dos aplicaciones que se mencionaron en artículos sobre xcodeghost, pero realmente no tenemos forma de estar seguros de que esas fueron las aplicaciones culpables, ¿verdad? Si permitimos que se vuelvan a conectar, corremos el riesgo de que no detectemos más tráfico a otras redes de bot desconocidas.
Mi primer instinto es que debemos obligar a este usuario a volver a crear una imagen del dispositivo antes de permitir que se vuelva a conectar a la red. Creo que he respondido a mi propia pregunta, pero quería consultar aquí para ver:

  1. existen herramientas para detectar y / o limpiar xcodeghost.
  2. ¿Alguien aquí ha tratado con xcodeghost en un dispositivo byod? ¿Cuál fue la resolución?
pregunta mcgyver5 07.10.2015 - 17:47
fuente

2 respuestas

1

Todavía no he descubierto ninguna herramienta para detectar / limpiar dispositivos infectados con xcodeghost, pero en cuanto a la remediación para limpiar los BYOD que están infectados con malware, ¡asegúrese de verificar la política de BYOD primero, por supuesto! Si en su política se establece que borrar el dispositivo personal de un usuario es una posibilidad, no veo ninguna razón para no usar esa opción. Es prácticamente la forma más eficiente de garantizar que el malware se haya "ido". Bueno, aparte de prohibir su dispositivo de la red. Ya se trate de prohibir físicamente el dispositivo desde el sitio de trabajo, el filtrado de MAC, la lista negra de enrutadores / cortafuegos, etc.

    
respondido por el Sevaara 23.10.2015 - 17:40
fuente
1

Tenga en cuenta que el firmware / imagen "de archivo" también se puede infectar, especialmente si estamos hablando de algunos dispositivos chinos (generalmente baratos). En segundo lugar, podría intentar controlar su tráfico después de volver a realizar la actualización / volver a visualizarlo. Pero no hay una garantía real de que no realizará "cosas" nuevas, no deseadas o no detectadas.

Si el fabricante es de confianza, hay pocas posibilidades de que vuelva a ser un problema. Sin embargo, aún depende de las aplicaciones que instale el usuario.

    
respondido por el Mircea P 21.01.2016 - 20:07
fuente

Lea otras preguntas en las etiquetas

¿No se está exponiendo ssh-copy-id a un ataque de fuerza bruta? Forma correcta de firmar y verificar un mensaje