如何找到被盗的 Macbook

tag-icon tag-icon macos shell dropbox applescript
如何找到被盗的 Macbook

我一个朋友的 Macbook 刚刚被偷了。她的 Dropbox 帐户仍在 Macbook 上工作,因此她可以看到 Macbook 每次上线的时间,并可以获取其 IP 地址。

她已将这些信息提供给警方,警方表示可能需要一个月的时间才能从 IP 地址获得真实位置。我想知道我们是否能帮忙找到这台笔记本电脑,因为这样一来,拥有这台笔记本电脑的人现在可能会因处理赃物而被捕(否则他们可能会在警察抓到他们之前重新安装它)。

以下是有关被盗 Macbook 的事实:

  • 它运行的是 OS X,但我不确定具体是哪个版本(不过我会找出答案)。
  • 只有一个用户帐户,没有密码,并且具有管理员权限。
  • 原主人的 Dropbox 仍在同步,每次上线时都会为我们提供 IP 地址。
  • 原主人不是技术人员,所以她不太可能打开任何远程控制功能,如 SSH、VNC 等(我已经通过电子邮件向她询问)。
  • 她不使用 iCloud 或 .Mac 服务。

我正在考虑将一个诱人的文件推送到 Dropbox,让用户点击它。我猜我只有一次机会,所以我想听听大家对最佳做法的一些想法。

我目前的想法:

  • 安装某种键盘记录器,将所有信息发回给所有者。有没有办法在用户不知情的情况下做到这一点?
  • 将文件制作成 shell 脚本,以尽可能多地获取有用的信息,例如浏览器历史记录、查找 iPhone 备份等。不过,我不确定将这些信息发回的最佳方式。听起来我可以使用邮件命令(当然是免费的电子邮件帐户)?
  • 也许可以打开远程管理。有没有办法在不让用户接受安全弹出窗口的情况下做到这一点?

这里有没有人有什么建议?我写过很多 shell 脚本,但想知道是否有其他 OS X 选项更好,例如 Applescript?有没有人有比将 Dropbox 文件推送到它更好的想法?

我知道这个问题基本上是关于编写一种恶意软件,但我很想能够模仿我的英雄当你窃取黑客的计算机时会发生什么DEF CON 讲座。

在采取任何行动之前,我们一定会先咨询警方,以确保我们不违反任何法律。

答案1

我记得看过那个 Zoz 医生的视频。很好的东西。

听起来你很擅长编写 shell 脚本,只需要一个攻击媒介。做类似 Zoz 所做的事情的关键是获得 SSH 访问权限。与他的情况不同,小偷使用的是拨号调制解调器,由于较新的 Mac 不支持拨号,因此几乎可以肯定小偷使用的是宽带连接,并且位于某种 NAT 路由器后面。

即使机器上启用了 SSH,也必须在路由器上设置端口转发,以便您从外部访问机器的 SSH 监听端口。宽带连接的优点是 IP 地址几乎肯定不会像拨号连接那样频繁更改。

如果我处于你的位置,掌握了窃贼的 IP,我会首先尝试登录他们的路由器的 Web 界面,看看我能从那里做些什么。令人惊讶的是,有这么多人保留了他们的默认路由器/调制解调器密码,而且网上有列表,你可以找到大多数主要制造商的默认密码。

进入路由器后,检查路由器上的 DHCP 客户端列表,看看是否可以找到 MacBook。许多路由器会显示 MAC(硬件)地址、分配的内部 IP 地址(通常为 192.168.1.x)以及最重要的机器名称。

找出分配给 MacBook 的 IP,然后在路由器设置中设置端口转发。使用 22 以外的某个外部端口(例如端口 2222),并将其转发到 MacBook IP 的端口 22。

许多路由器都开启了 SSH 访问权限,因此访问窃贼的 IP @ 端口 22 可能会将您带到路由器 shell 而不是机器 shell。现在您应该在窃贼的外部 IP 上有一个端口(您从 Dropbox 获得),它将直接带您到 MacBook 上应该绑定 SSH 的端口。除非 SSH 尚未打开。

这部分需要窃贼采取一些行动。我喜欢电子邮件的想法,但它要求你的朋友使用 Apple Mail。更好的方法可能是将诱人的 .app 文件上传到 Dropbox,这将打开 SSH(远程登录)。

您可以通过 shell 脚本执行此操作,但通过 Applescript 执行此操作、将 Applescript 保存为 .app 并为其指定一个漂亮的图标,都将有助于欺骗您的标记并且不会暴露您的身份。

以下是打开远程登录的 Applescript 代码:

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

如果您愿意,这段代码将返回一个带有机器序列号的字符串,您可以将其通过电子邮件发送给自己:

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

我会编写 applescript,以便它能够打开远程登录,并执行您需要的任何其他操作。尽量不要编写 GUI 或除 shell 之外的任何应用程序的脚本,因为这会引起怀疑。最后显示一条消息,内容是“此应用程序无法在此 Macintosh 上运行。”,并带有“退出”按钮以减少怀疑。一旦脚本在 AppleScript 编辑器中运行,请将其保存为仅运行的 .app 文件。

尝试将 .app 伪装成热门游戏,如《植物大战僵尸》或《愤怒的小鸟》等。您可以从真实游戏的 .app 中导出图标,并将其放入从 Applescript 导出的 .app 中。如果您的朋友仔细观察了小偷,您可以对他/她进行社交分析,并将 .app 伪装成他们可能感兴趣的其他内容。

只要您可以设置端口转发(您的目标不会强制执行适当的安全措施),并且您可以让他/她运行该应用程序,您就可以完全通过 SSH 访问该机器,并且可以继续寻找线索而不会立即暴露您的存在。这也要求目标不会厌倦 Dropbox 的 Growl 通知并退出,所以我建议您的朋友暂时停止将文件保存到她的 Dropbox。

注意:如果窃贼断开与 ISP 的连接并重新连接,他们将获得一个新的外部 IP。将文件添加到 Dropbox 并等待其同步。这应该会为您获取更新的 IP。

注意 2:如果用户在一定时间内(通常为 24 小时)没有使用 MacBook 连接到路由器,则分配给 MacBook 的内部 IP 地址的 DHCP 租约将过期。除非将另一台设备引入网络,否则下次连接时它很可能会获得相同的 IP 地址。在这种情况下,您必须手动重新登录路由器并修改端口转发。

这不是唯一的攻击手段,但当我意识到 IP 仍在通过 Dropbox 更新时,我会这样做。祝你好运!

编辑:每行“执行 shell 脚本”末尾的“管理员权限”非常重要。如果您未在行中包含用户名和密码,系统将提示用户输入您朋友的管理员密码,并且脚本将失败。

答案2

阿姨祝她生日快乐,阿姨想在她生日时给她寄一张 Abercrombie & Fitch+ 礼品卡,但需要正确的地址。那么就看小偷是否能上当了,这个低预算的尼日利亚骗局伎俩。

+或其他知名品牌

答案3

老实说,联系苹果吧。他们可能有关于如何追踪电脑的信息。我敢肯定你不是第一个 Mac 被盗的人。

编辑:我调查了Apple 的支持页面但实际上它并没有我想象的那么有用。你可以尝试使用 iCloud 远程锁定你的 Macbook。

Daniel Beck 实际上已经测试过了并且评论道:

“虽然它不是‘秘密的 Mac 后门’,并且 [虽然] 对恢复计算机没有太大帮助,但它可以很好地将人们拒之门外。您的评论促使我尝试了它,它确实非常令人印象深刻。屏幕变白,它会关闭计算机,并需要您之前通过 iCloud 指定的六位数代码才能恢复正常启动过程。”

答案4

有了 IP 地址,您大概就能算出它正在通过哪个 ISP 进行连接,甚至更多。

去:http://remote.12dt.com/lookup.php

输入 IP 地址。

例如假设 IP 地址为:203.97.37.85(这实际上是新西兰某个 ISP 的 Web 服务器地址)。

它可能显示公司或 ISP 域名。如果它看起来像是公司名称,那么您的范围就会缩小很多。但如果它是网络提供商的名称(上例中为 TelstraClear NZ)。

除了上述内容之外,我还会进行 whois 查询。使用其中一种在线 whois 查询工具。

http://networking.ringofsaturn.com/Tools/whois.php

您将获得大量信息。但您可以看到它是 TelstraClear 网络内的地址。

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  [email protected]
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  [email protected]
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       [email protected]
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      [email protected] 19960101
changed:      [email protected] 20010624
changed:      [email protected] 20041214
changed:      [email protected] 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       [email protected]
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      [email protected]
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       [email protected]
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      [email protected] 20041125
source:       APNIC

到时候就该由警察来处理了。我怀疑 ISP 会告诉你谁在登录。

如果您确实拿回了笔记本电脑,或者您最终得到了一台新笔记本电脑,那么请将 preyproject 安装到笔记本电脑上。这将使以后的事情变得简单得多。您甚至可以给罪犯拍照 :)

相关内容