Não é possível se livrar do bug de malware / hardware do Mac / Linux

2

Meu MacBook agora tem uma porta traseira permanente para alguns hackers que eu não consigo me livrar. Eu até tentei arrancar a partir de um pendrive Linux, limpando tudo, incluindo a partição EFI, mas toda vez que eu tento reinstalar minha conexão é sequestrado por essa função "SlingShot" e redirecionado para algum servidor que hospeda uma instalação infectada:

NetworkFinishOSRSHostInfoLookup: Resolved OSRS Hostname [osrecovery.apple.com] to 17.164.1.12, Port 80
GetStationAddressViaIpAgent: Client IP Address: 172.20.10.6
GetStationAddressViaIpAgent: Client Subnet Mask: 255.255.255.240
GetStationAddressViaIpAgent: Router IP Address: 172.20.10.1
GetStationAddressViaIpAgent: DnsServer 0 Address: 172.20.10.1
NetworkFinishOSRSHostInfoLookup: Resolved DNS Address on interface with address 172.20.10.6
NetworkFinishOSRSHostInfoLookup: Got 1 Network Interfaces.
NetworkFinishOSRSHostInfoLookup: Handle 0 was used for successful DNS resolution of OSRS.
SlingShot: Got OSRS Info: Hostname osrecovery.apple.com, Host IP 17.164.1.12, Port: 80
SlingShotSetupAuthParams: Got MLB SN 'XXXXXXXXXXXXXXX'
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
DownloadChunkedAsset: Downloading 44 chunks.
NetworkResolveDomainName: Resolved IP Address for 'oscdn.apple.com': 23.62.239.26
SlingShotUpdateProgressUI: Recent download rate 0 dropped below 5 KBps, starting download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 0 KBps, 541 KBps new total, last total 0 KBps, now 270 KBps
SlingShotUpdateProgressUI: Recent download rate 5 is above minimum 5 KBps, cancelling download stall timer.
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 748 KBps new total, last total 934 KBps, now 841 KBps
SlingShotUpdateProgressUI: 30 sec avg 23 KBps, 385 KBps new total, last total 429 KBps, now 407 KBps
SlingShotUpdateProgressUI: 30 sec avg 24 KBps, 269 KBps new total, last total 286 KBps, now 277 KBps
SlingShotUpdateProgressUI: 30 sec avg 57 KBps, 499 KBps new total, last total 446 KBps, now 472 KBps
SlingShotUpdateProgressUI: 30 sec avg 90 KBps, 645 KBps new total, last total 608 KBps, now 626 KBps

A inicialização a partir do Recovery HD ou até mesmo do Network Recovery Drive da Apple ainda me deixa preso neste novo roteamento, e um sistema corrompido é instalado todas as vezes. De alguma forma este bug é capaz de autenticar no meu sistema, mesmo depois de um apagamento.

Parece estar relacionado a hardware. Inicializando do Kali Linux em um pen drive Eu recebo essas entradas no log de inicialização mostrando um bug de firmware do Mac:

[    0.020231] [Firmware Bug]: ioapic 2 has no mapping iommu, interrupt remapping will be disabled
[    0.020291] Not enable interrupt remapping
[    0.020292] Failed to enable irq remapping.  You are vulnerable to irq-injection attacks.

Logo seguido pelo sistema sendo adiado pelos sinais de interrupção da rede?

[    0.174491] ACPI: Interpreter enabled
[    0.174496] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S1_] (20140926/hwxface-580)
[    0.174499] ACPI Exception: AE_NOT_FOUND, While evaluating Sleep State [\_S2_] (20140926/hwxface-580)
[    0.174509] ACPI: (supports S0 S3 S4 S5)
[    0.174510] ACPI: Using IOAPIC for interrupt routing
[    0.174530] PCI: Using host bridge windows from ACPI; if necessary, use "pci=nocrs" and report a bug
[    0.180547] ACPI: PCI Root Bridge [PCI0] (domain 0000 [bus 00-ff])
[    0.180552] acpi PNP0A08:00: _OSC: OS assumes control of [PCIeHotplug SHPCHotplug AER PCIeCapability]
[    0.180903] acpi PNP0A08:00: [Firmware Info]: MMCONFIG for domain 0000 [bus 00-9a] only partially covers this bridge

Mais tarde, há entradas mostrando funções da uPnP que parecem estar se disfarçando como arquivos de áudio principais, e eu notei a mesma coisa acontecendo com o PulseAudio no meu laptop Linux. E o uPnP foi desativado no meu roteador por um tempo agora.

Além disso, toda distro de Linux que eu tentei baixar e instalar ou instalar de um disco foi injetada com esta mesma vulnerabilidade também. Mesmo se eu for para uma rede completamente diferente. Então o bug está no meu computador, mas persiste através de um apagamento. E todos os computadores e roteadores foram limpos e reinstalados do zero, mas ainda entram em tudo e ainda não tenho controle sobre minhas conexões de rede.

Tenho certeza de que tudo começou no meu iPhone e acessei a autenticação "Confiar neste computador", mas não conectei meu iPhone a nenhum laptop desde que isso começou. E há muito mais detalhes e momentos divertidos como um servidor apache sendo implantado 15 minutos depois de um apagamento, meu pendrive sendo excluído e o hub desativado enquanto eu tentava copiar os arquivos do servidor como prova, e AppleCare me dizendo que eles não vêem nada particularmente anormal sobre tudo isso.

Mas ... Assumindo que isso seja principalmente nos arquivos de configuração de inicialização, como faço para limpá-los no Mac e no Linux para ter certeza de que ele não continuará se replicando? Ou o que devo fazer para bloquear as coisas?

    
por scissortail 17.03.2015 / 03:22

2 respostas

6

Acho que você se sentiu muito paranóico ao interpretar o pior possível de um monte de mensagens de log que você realmente não entende.

Tenho certeza de que o SlingShot é o nome interno da Apple para o que é conhecido publicamente como "OS X Internet Recovery". Se o disco rígido do seu Mac foi completamente apagado (nem mesmo a partição de recuperação normalmente oculta existe), o seu Mac tentará inicializar um servidor Apple (possivelmente hospedado em um servidor CDN Akamai / EdgeSuite; a Akamai há muito tempo usada pela Apple CDN favorito).

Este artigo fornece algumas informações sobre a recuperação da Internet (bem como a recuperação da partição de recuperação de disco rígido local): link

Acho que o "Bug de Firmware" que o instalador do Linux está relatando é apenas um bug ou um instalador com excesso de zelo chamando-o de "bug" quando o firmware simplesmente não possui um recurso de segurança específico que o instalador esperava . Não vejo nenhuma evidência de que seja uma imagem de firmware corrompida, hackeada ou invadida.

Quanto ao último trecho de log, por favor, perceba que as placas-mãe geralmente têm "ponte de chips" para conectar um barramento a outro (como conectar dois barramentos PCI entre si) e "interromper roteamento" refere-se à rota do chip -chip que os sinais de interrupção levam através da placa-mãe. Esta "ponte" e "roteamento" é toda sobre chips e barramentos e outros circuitos eletrônicos na placa-mãe, não em rede LAN / Internet.

    
por 17.03.2015 / 05:22
0

É parte integrante da rede em que você está, ou seu roteador foi comprometido e teve seu DNS tocado.

    
por 07.02.2016 / 03:34