Risposta agli incidenti - Quali registri sono di maggiore interesse in seguito a un attacco da desktop remoto progettato socialmente

Naviga le tue risposte
6

Sfortunatamente, qualcuno della mia famiglia si è innamorato di una truffa telefonica dopo che i dati sono trapelati da TalkTalk. Di conseguenza, hanno consentito l'accesso remoto a due computer e trasferito denaro dal proprio conto bancario al valore di oltre £ 10.000.

Il denaro verrà restituito dalla banca, tuttavia ho il compito di cercare di capire cosa è stato compromesso e vorrei davvero ricevere qualche consiglio su quanto segue:

Quando sono arrivato, Windows è stato protetto con Syskey che era stato messo in atto dall'attaccante. Il codice era già noto come l'hacker l'aveva rivelato al telefono.

Ho esaminato la cronologia del browser e ho visto la vittima scaricare Teamviewer e consentito la connessione remota a due computer per alcune ore. Il log di Teamviewer non indica che nessun file è stato trasferito, la cronologia del browser inoltre non indica che alcuni file sono stati scaricati oltre a Teamviewer (ovviamente potrebbero essere cancellati ma penso che la vittima potrebbe mettere in dubbio l'eliminazione di vari bit della cronologia del browser). Guardando attraverso i file "modificati" per un po 'di tempo, sono quasi certo che nulla è stato installato e guardando attraverso l'avvio e i processi in esecuzione non ho trovato nulla di eccessivamente sospetto.

La storia della vittima è che c'era un prompt dei comandi sullo schermo con una raffica di testo che sembrava tracciati di file che volavano sullo schermo su entrambe le macchine. Un registro Rapport mostra che una scansione antivirus è stata avviata in quel momento su entrambe le macchine che potrebbe essere stato quello.

Idealmente, sto cercando di scoprire se i file sono stati inviati dai computer attaccati perché lì ci sono oggetti privati. Ho cercato informazioni su una stima approssimativa del traffico di rete dall'ISP, ma anche con quelle informazioni sarà difficile sapere come Teamviewer era in esecuzione. Non c'è molto in termini di cronologia del browser oltre a visitare i siti di banche che sono ancora tutti lì, e ho setacciato (a occhio aperto per alcune ore) i vari registri di eventi di Windows e non ho trovato molto interesse (oltre a trovare il log di teamviewer e qualcosa che diceva che era stata avviata una scansione).

Senza un programma di terze parti e utilizzando CMD, come potrebbe un utente malintenzionato inviare file? Assumerei FTP in quanto Windows ha un client FTP integrato, ma non riesco a trovare alcun registro (né vorrei sapere dove sarebbe se ce n'è uno).

Finora la mia soluzione è stata quella di riprendere immagini di entrambi i dischi come backup e di reinstallare Windows su entrambe le macchine e di spostare solo alcuni documenti. Mentre questo protegge principalmente le macchine (oltre all'ingegneria sociale) non mi dice molto su cosa è successo durante la sessione di Teamviewer. Sfortunatamente la vittima è stata ben bilanciata e quindi non sembra avere un resoconto fantastico di qualcosa di diverso da "una raffica di testo che assomiglia a percorsi di file" e alcuni comandi di cd .

Suppongo che la mia domanda generale sia:

In che modo i file possono essere spostati utilizzando solo le funzioni di Windows incorporate e conosci i registri che produrranno? C'è qualcos'altro che controlli o fai? Quali vari pezzi di storia controlleresti personalmente dopo un attacco del genere?

Ho un'immagine completa di entrambe le macchine e mentre stavo aggiornando una su un SSD mentre sono lì, ho anche un disco rigido completamente avviabile che non è stato alterato da quando è stato attaccato, quindi i log sono generalmente ancora tutti disponibili.

    
posta ThePerson 26.08.2015 - 12:14
fonte

1 risposta

4

Ci sono semplicemente troppi modi per spostare file in un sistema Windows senza lasciare troppa traccia.

Se il tuo sistema operativo è recente, hai PowerShell installato che cah esegue HTTP (S) si scarica facilmente e senza creare alcun registro, per esempio. Oppure, come hai notato, FTP.

Un modo semplice per lo scammer di caricare ed eseguire facilmente del codice sarebbe utilizzare gli appunti: avviare una riga di comando e incollare semplicemente lo script al suo interno. Ci vorranno solo un paio di righe per scaricare ed eseguire un programma da un sito web e il prompt di Windows non tiene un registro dei comandi che esegue.

Nel tuo caso, sceglierei una delle due seguenti opzioni:

  • Si dà per scontato che l'attaccante non abbia cercato di nascondere le sue tracce e fosse solo dopo un po 'di soldi facili (frutta bassa appesa) e che in realtà non sembravano più profondi. Questa è una proposta rischiosa, ma potresti considerarla appropriata se non ci fossero informazioni importanti sul sistema.
  • Si presume che l'aggressore abbia gli strumenti e le capacità per eseguire una penetrazione approfondita del sistema (che è sorprendentemente facile e veloce data gli strumenti di oggi) e deve quindi considerare tutte le informazioni su questa macchina comprese: eventuali password salvate o digitato, tutte le informazioni contenute nel documento memorizzato o accessibile, tutto l'account utilizzato (inclusi elementi come gli account di archiviazione cloud, ecc.) e tutte le chiavi private memorizzate localmente e non protette da una password complessa. Ricorda che l'autore dell'attacco potrebbe anche essere passato ad altri sistemi accessibili da questa macchina.

Non penso che nulla tra questi due estremi abbia molto senso. Quale tu hai scelto, tuttavia dipende interamente da te. In ogni caso, è necessario eseguire un ripristino completo del sistema (da metal, non dal sistema operativo) e ripristinare tutte le password locali.

    
risposta data 26.08.2015 - 16:13
fonte

Leggi altre domande sui tag

Cosa viene memorizzato su una carta bancaria e in che modo è protetta? nginx raccomandato ssl_ciphers