Preguntas sobre exploits comunes

Navega tus respuestas
1

Estoy investigando el estado de mi MacBook Pro que sé que estaba comprometido, y no sé si eliminé las vulnerabilidades por completo (y me doy cuenta, técnicamente nunca lo sabré). Estoy tratando de concentrarme en explotaciones específicas, no espero probar que no existen, pero en cualquier caso puedo probar que sí, eso me puede ayudar a decidir varios cursos de acción desde la reparación básica hasta el reemplazo de todo el sistema. en lo mas extremo

Buscando las respuestas más breves, aquí hay algunas preguntas iniciales que tengo:

  • ¿Cuáles son los vectores comunes para instalar rootkits? (¿Y si lo comprendo correctamente, esto incluiría MBR y BIOS? Entonces, la misma pregunta para cada uno).

  • ¿Qué tan comunes son los rootkits que sobreviven a la reinstalación del sistema operativo (y están limitados a la BIOS, o las infecciones de MBR pueden lograr esto?)

  • ¿Qué tan comunes son las infecciones de la llave USB? Sé que muchas agencias gubernamentales han tenido políticas desde hace algunos años de no permitir que los empleados utilicen incluso llaves USB en sus máquinas, pero estas son configuraciones de alta seguridad.

  • Si existe una inquietud acerca de los ataques desconocidos para las herramientas comerciales de AV, ¿serían útiles las herramientas comerciales para detectar un rootkit en una instalación nueva del sistema operativo? P.ej. ¿Detecta tráfico inesperado en la red cuando intenta descargar malware adicional?

  • En una máquina previamente comprometida, ¿existe realmente alguna esperanza de detectar un keylogger? Sospecho que no (a menos que sea un keylogger mal escrito, o ya conocido por el software AV).

En todos estos, puedo publicar preguntas individuales para más detalles; Solo estoy tratando de averiguar qué cosas explorar primero y cuáles son callejones sin salida.

    
pregunta Jason Boyd 25.07.2014 - 17:11
fuente

1 respuesta

1
  • ¿Cuáles son los vectores comunes para instalar rootkits? (¿Y si lo comprendo correctamente, esto incluiría MBR y BIOS? Entonces, la misma pregunta para cada uno).

Principalmente enganchando las llamadas al sistema. Le sugiero que lea un libro sobre esto porque no puedo cubrirlo todo aquí. Sugiero: análisis de malware práctico y arsenal de rootkits

  • ¿Qué tan comunes son los rootkits que sobreviven a la reinstalación del sistema operativo (y están limitados a la BIOS, o las infecciones de MBR pueden lograrlo?)

Depende del rootkit. Lee el arsenal de rootkits para más detalles

  • ¿Qué tan comunes son las infecciones de la llave USB? Sé que muchas agencias gubernamentales han tenido políticas desde hace algunos años de no permitir que los empleados utilicen incluso llaves USB en sus máquinas, pero estas son configuraciones de alta seguridad.

No todos los rootkits se entregan mediante USB. Algunos pueden usar sus archivos adjuntos de correo electrónico, la vulnerabilidad de 0 días en sus navegadores, etc.

  • Si existe una preocupación acerca de los ataques que son desconocidos para las herramientas comerciales de AV, ¿serían útiles las herramientas comerciales para detectar un rootkit en una instalación nueva del sistema operativo? P.ej. ¿Detecta tráfico inesperado en la red cuando intenta descargar malware adicional?

Se llaman vulnerabilidades / vulnerabilidades 0days. Los ingenieros de seguridad están trabajando para detectar a aquellos que usan una técnica llamada análisis de malware de comportamiento. Es un juego de ratón-gato.

  • En una máquina previamente comprometida, ¿existe realmente alguna esperanza de detectar un keylogger? Sospecho que no (a menos que sea un keylogger mal escrito, o ya conocido por el software AV).

Un pirata informático real (no niños de script) haría que su ataque sea persistente. Lo primero que debes hacer es matar cualquier AV.

    
respondido por el AK_ 26.07.2014 - 03:02
fuente

Lea otras preguntas en las etiquetas

¿Mi configuración de Postfix y Dovecot es segura? No puedo contactar mi reino para obtener credenciales [cerrado]