Tipps, Tricks & Tools

Citrix

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
In der Dezember-Ausgabe beleuchtet IT-Administrator die Datenspeicherung in kleinen und mittleren Firmen. Darin zeigen wir unter anderem, welche neue ... (mehr)

»Apple bietet ja ein integriertes Malware Removal Tool. Die Bedienung erscheint mir allerdings nicht gerade eingängig. Können Sie kurz schildern, wie sich das Werkzeug nutzen lässt? Vielleicht können Sie dabei auch auf die Verschränkung mit Gatekeeper eingehen?«

macOS beinhaltet einen integrierten Vulnerability Scanner namens Malware Removal Tool (MRT). Er findet sich als MRT.app-Bundle unter "/System/Library/CoreServices /MRT.app /Contents/ MacOS/". Um das Tool einzusetzen, führen Sie die Binärdatei einfach mit dem Flag "-a" für Agent und anschließend mit dem Flag "-r" zusammen mit dem Pfad aus, den Sie unter die Lupe nehmen wollen. Angenommen, Sie listen mit Hilfe des Befehls launchctl list alle LaunchDaemons und LaunchAgents auf, die derzeit laufen, und Sie finden eine verdächtige Datei, die etwa mit "com.abc" beginnt, dann können Sie die mögliche Gefahr mit folgendem Befehl scannen:

$ sudo /System/Library/CoreServices/ MRT.app/Contents/MacOS/mrt -a -r ~/Library/LaunchAgents/com.abc.123.c1e71c3d22039f57527c52d467e06612af4fdc9A.plist

Im nächsten Schritt folgt eine Überprüfung der von Ihnen aufgespürte Bedrohung auf Übereinstimmungen mit einem bei MRT oder "/System/Library/CoreServices/XProtect.bundle/ Contents/Resources/XProtect.yara" bekannten Hash. Wird die Datei erkannt, wird sie gelöscht. Ein sauberer Output würde wie folgt aussehen:

2018-09-24 21:19:32.036 mrt[48924:4256323] Running as agent
2018-09-24 21:19:32.136 mrt[48924:4256323] Agent finished.
2018-09-24 21:19:32.136 mrt[48924:4256323] Finished MRT run

Malware ist meist ein Zahlenspiel. Angreifer müssen nur genügend Leute finden, die auf Phishing-E-Mails reinfallen: Sei es ein Klick, um den iTunes-Account zu kontrollieren, oder die Installation einer Erweiterung für Safari. Allerdings müssen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Tipps, Tricks & Tools

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019