Digamos que un amigo me da una tarjeta SD de la cual no estoy seguro de que sea seguro (es decir, puede contener malware), ¿cuál es la forma más segura de acceder a esta tarjeta en un Mac OSX? P.ej. ¿Es posible crear un sandbox en el Finder?
Sé que algunos de ustedes pueden decir: "Simplemente no acceda a él". Pero supongamos que este es un escenario en el que Tengo que acceder a él.
¿Así que tienes un agente activo y quieres examinarlo? ¡Esto va a ser divertido!
Primero, no simplemente conéctalo y mira a tu alrededor. Incluso si tuviera que crear un buscador de "zona de pruebas", eso no lo protegería de un malware potencial. Entonces, ¿cómo ves realmente las mercancías? Bueno, tienes que realizar un examen forense! Esto es lo que necesitarás:
Configure su VM con preferiblemente una distribución de linux (como helix). Ahora, simplemente adjunte el bloqueador de escritura a su PC y configúrelo. Abra su programa de imágenes y finalmente conecte su memoria USB caliente.
Ahora toma una imagen forense de esta unidad, ya sea directamente en la RAM (si tiene la capacidad) o en otra unidad (que no sea del sistema operativo). Puede tomar un tiempo dependiendo de cuán grande sea el objetivo. Una vez que tenga la imagen, puede mirarla de varias maneras utilizando el mismo programa de imágenes (FTK lo hace super simple).
El concepto completo se llama respuesta a incidentes y SANS tiene muchos documentos buenos sobre qué hacer. Aquí hay uno . Además, utilicé este libro para aprender mucho sobre el análisis forense. Conozco a un tipo que toma su CISSP y también lo acaba de terminar, por lo que sigue siendo relevante.
¡Buena suerte y diviértete!
En respuesta a su comentario, el malware puede propagarse sin que usted lo sepa una vez que conecte un dispositivo infectado. La mejor manera de protegerse contra eso es ejecutar el examen en una máquina virtual con un sistema operativo diferente al objetivo. Los diferentes sistemas operativos ayudan a impedir que se ejecute el malware y la máquina virtual actúa como control de daños en caso de que el malware se ejecute y se ejecute de todos modos.
La forma más común y más fácil de propagación de malware de esta manera sería la función de 'reproducción automática', pero si realmente considera lo que está sucediendo detrás de esa función, puede ver que hay ciertos elementos de los medios externos que se cargan en la memoria RAM. > y escrito en el disco duro de su PC (en forma de metadata / logs / etc). Todo * que un atacante tiene que hacer es aprovechar ese vector de amenaza. * esto no es una pequeña hazaña, sin embargo :)
Sin embargo, no todo es pesimismo. Todo lo que tienes que hacer es lanzar una máquina virtual correctamente configurada y, básicamente, has detenido el 99,99% de esa amenaza en particular.
Ya que está tratando con material peligroso, comenzaría ejecutando este proceso en un sistema dedicado para este tipo de investigación:
desconectado de cualquier conexión de red (MacOS X en configuración de red aislada: el equivalente al modo Avión en un iPhone),
un sistema que puede borrar por completo en caso de evidencia de malware que no puede borrar por completo.
En MacOS X, esta tarea de sandboxing y análisis de un USB externo sospechoso es básicamente un proceso de 2 pasos.
Lea esta respuesta: ¿Cómo puedo proteger contra escritura (hacer solo lectura) una unidad USB en OS X? on Ask Different, que es, desde mi experiencia, la mejor respuesta.
Esto evitará que la evidencia sea dañada por cualquier demonio MacOS X ( mdworker , Spotlight ...) un error humano o cualquier herramienta forense. Esto no protegerá MacOS X, que todavía está en un sistema de archivos de lectura-escritura.
clamscan y chkrootkit
Si su almacenamiento USB ahora está montado en /Volumes/suspicious_SD , y tiene MacPorts , clamav & chkrootkit instalado, ejecute:
/usr/bin/sudo /opt/local/bin/clamscan -r /Volumes/suspicious_SD /usr/bin/sudo /opt/local/bin/chkrootkit -r /Volumes/suspicious_SD
Estas son solo dos herramientas básicas para detectar malwares conocidos públicamente. Esto no constituye un análisis forense real que debería comenzar desde allí, basado en herramientas como: find , tcpdump , opensnoop ...