Quindi hai un agente caldo e vuoi esaminarlo? Sarà divertente!
In primo luogo, non semplicemente collegalo e guardati intorno. Anche se si dovesse creare un finder 'sandbox', questo non ti proteggerà da potenziali malware. Quindi, come vedi effettivamente le merci? Bene, devi eseguire un esame forense! Ecco di cosa avrai bisogno:
- Una Virtual Machine è fondamentale per non infettare il tuo computer. Assicurati di configurarlo in modo che la VM non abbia accesso alla rete.
- Un imager forense. Uso elica o autopsia suite. FTK imager funziona bene se hai una Windows VM.
- A Write Blocker per proteggere l'integrità del dispositivo USB essere esaminati Ciò significa impedire che tutte le operazioni di scrittura vengano trasferite alla memoria di destinazione. Ciò mantiene una registrazione incontaminata del target, ma impedisce anche che alcuni tipi di malware si alterino sulla USB di destinazione. Personalmente dico di usare un blocker di scrittura hardware perché sono più affidabili (basta andare su Amazon e trovarne uno).
Configura la tua VM con preferibilmente una distro linux (come l'elica). Ora basta semplicemente attaccare il blocco di scrittura al PC e configurarlo. Apri il tuo programma imager e finalmente inserisci la tua chiavetta USB.
Ora acquisisci un'immagine forense di questa unità, direttamente nella RAM (se ne hai la capacità) o su un'altra unità (non OS). Potrebbe volerci un po 'di tempo a seconda di quanto è grande l'obiettivo. Una volta ottenuta l'immagine, puoi guardarla attraverso in qualsiasi modo usando lo stesso programma di imager (FTK lo rende semplicissimo).
L'intero concetto è chiamato risposta agli incidenti e SANS ha molti buoni documenti su cosa fare. Eccone uno . Inoltre, ho utilizzato questo libro per imparare molto sulla medicina legale. Conosco un ragazzo che prende il suo CISSP e lo ha anche appena finito, quindi è ancora rilevante.
Buona fortuna e buon divertimento!
In risposta al tuo commento, il malware può effettivamente diffondersi senza che tu lo sappia dopo aver collegato un dispositivo infetto. Il modo migliore per proteggersi è quello di eseguire l'esame in una VM con un sistema operativo diverso rispetto all'obiettivo. Il diverso sistema operativo aiuta a impedire l'esecuzione del malware e la VM agisce come controllo del danno qualora il malware dovesse scoppiare e funzionare comunque.
Il modo più semplice e facile con cui il malware può diffondersi in questo modo è la funzione "autoplay", ma se si considera effettivamente ciò che accade dietro quella funzionalità si può vedere che ci sono alcune cose da quel supporto esterno che viene caricato nella RAM e scritti sull'hard disk del tuo PC (sotto forma di metadati / log / etc). Tutto * che un utente malintenzionato deve fare è sfruttare quel vettore di minacce. * comunque non è un'impresa da poco:)
Tuttavia non è solo buio e rovina. Tutto ciò che devi fare è lanciare una VM configurata correttamente e hai praticamente fermato il 99,99% di quella particolare minaccia.