web-dev-qa-db-ja.com

Mac OSX:不明なUSBストレージにアクセスする最も安全な方法は何ですか?

友人が私に安全だと確信できない(つまり、マルウェアが含まれている可能性がある)SDカードをくれたとします。MacOSXでこのカードにアクセスする最も安全な方法は何ですか?例えば。 Finderでサンドボックスを作成することは可能ですか?

「アクセスしないでください」と言う方もいらっしゃると思います。しかし、これが私がしなければならないアクセスするシナリオであると仮定します。

15
Honey Badger

それで、あなたはあなた自身に熱いエージェントがいて、それを調べたいのですか?これは楽しいことになるだろう!

まず、しないプラグインして、周りを見回すだけです。 「サンドボックス」ファインダーを作成しても、潜在的なマルウェアから保護することはできません。では、実際に商品をどのように見ますか?さてあなたは法医学検査を行う必要があります!必要なものは次のとおりです。

  • A 仮想マシン は、マシンに感染しないようにするために重要です。 VMがネットワークにアクセスできないように設定してください。
  • フォレンジックイメージャー。 helix または autopsy suiteを使用します。 FTK imager Windows VMを使用している場合にうまく機能します。
  • A 書き込みブロッカー 調査対象のUSBデバイスの整合性を保護します。これは、ターゲットUSBへのすべての書き込みを防ぐことを意味します。これにより、ターゲットの初期の記録が保持されますが、特定の種類のマルウェアがターゲットUSBで自分自身を変更することも防止されます。個人的には、ハードウェア書き込みブロッカーを使用するほうが信頼性が高いので(Amazonにアクセスして見つけてください)と言います。

VMできればLinuxディストリビューション(らせんのような)で構成します。次に、書き込みブロッカーをPCに接続してセットアップします。イメージャープログラムを開き、最後にホットUSBスティックを差し込みます。

RAM(容量がある場合)または別の(OS以外の)ドライブに直接、このドライブのフォレンジックイメージを取得します。ターゲットのサイズによっては時間がかかる場合があります画像を取得したら、同じイメージャプログラムを使用してさまざまな方法で画像を見ることができます(FTKを使用すると、非常に簡単になります)。

全体の概念はインシデント対応と呼ばれ、SANSには何をすべきかについて多くの優れたドキュメントがあります。 1つあります 。また、フォレンジックについて多くを学ぶために この本 を使用しました。私は彼のCISSPを取っている男を知っています、そして彼はちょうどそれを終えたので、それはまだ関連しています。

頑張って楽しんでね!

あなたのコメントへの応答として、感染したデバイスを接続すると、マルウェアは実際に知らないうちに広がる可能性があります。これを防ぐ最善の方法は、ターゲットとは異なるOSでVMで検査を実行することです。別のOSは、マルウェアの実行を禁止するのに役立ち、VMは、マルウェアが発生して実行された場合のダメージコントロールとして機能します。

マルウェアがこのように広がる最も一般的で最も簡単な方法は「自動再生」機能ですが、その機能の背後で何が起こっているかを実際に考えると、RAMおよび(メタデータ/ログ/などの形式で)PCのハードドライブに書き込まれますすべて*攻撃者がしなければならないことは、その脅威ベクトルを利用することです*ただし、これは小さな偉業ではありません:)

しかし、それはすべての悲観と破滅ではありません。あなたがしなければならないのは、適切に設定されたVMを投げるだけであり、本質的にその特定の脅威の99.99%を止めました。

7
Matthew Peters

あなたが危険物を扱っているので、私はこの種の調査のための専用システムでこのプロセスを実行することから始めます:

  • ネットワーク接続から切り離されている(隔離されたネットワーク構成のMacOS X:iPhoneの機内モードに相当)、

  • 完全に消去できないマルウェアの証拠がある場合に完全に消去できるシステム。

MacOS Xでは、疑わしい外部USBをサンドボックス化して分析するこのタスクは、基本的に2ステップのプロセスです。

このUSBキーを読み取り専用でマウント

この回答をお読みください: OS XでUSBドライブを書き込み保護(読み取り専用にする)するにはどうすればよいですか? Ask Askについて私の経験から、これが最良の回答です。

これにより、MacOS Xデーモン(mdworkerSpotlight…)による人為的エラーまたはフォレンジックツールによる証拠の破損を防ぐことができます。これは、まだ読み書き可能なファイルシステム上にあるMacOS Xを保護しません。

clamscanおよびchkrootkitを実行します

USBストレージが/Volumes/suspicious_SDの下にマウントされ、MacPortsclamavchkrootkitがインストールされている場合は、次のコマンドを実行します。

/usr/bin/Sudo/opt/local/bin/clamscan -r /Volumes/suspicious_SD
/usr/bin/Sudo/opt/local/bin/chkrootkit -r/Volumes/suspicious_SD 

これらは、既知のマルウェアを検出するための2つの基本的なツールです。これは、findtcpdumpopensnoop…などのツールに基づいて、そこから開始する実際のフォレンジック分析を構成するものではありません。

1
dan