Sfortunatamente, qualcuno della mia famiglia si è innamorato di una truffa telefonica dopo che i dati sono trapelati da TalkTalk. Di conseguenza, hanno consentito l'accesso remoto a due computer e trasferito denaro dal proprio conto bancario al valore di oltre £ 10.000.
Il denaro verrà restituito dalla banca, tuttavia ho il compito di cercare di capire cosa è stato compromesso e vorrei davvero ricevere qualche consiglio su quanto segue:
Quando sono arrivato, Windows è stato protetto con Syskey che era stato messo in atto dall'attaccante. Il codice era già noto come l'hacker l'aveva rivelato al telefono.
Ho esaminato la cronologia del browser e ho visto la vittima scaricare Teamviewer e consentito la connessione remota a due computer per alcune ore. Il log di Teamviewer non indica che nessun file è stato trasferito, la cronologia del browser inoltre non indica che alcuni file sono stati scaricati oltre a Teamviewer (ovviamente potrebbero essere cancellati ma penso che la vittima potrebbe mettere in dubbio l'eliminazione di vari bit della cronologia del browser). Guardando attraverso i file "modificati" per un po 'di tempo, sono quasi certo che nulla è stato installato e guardando attraverso l'avvio e i processi in esecuzione non ho trovato nulla di eccessivamente sospetto.
La storia della vittima è che c'era un prompt dei comandi sullo schermo con una raffica di testo che sembrava tracciati di file che volavano sullo schermo su entrambe le macchine. Un registro Rapport mostra che una scansione antivirus è stata avviata in quel momento su entrambe le macchine che potrebbe essere stato quello.
Idealmente, sto cercando di scoprire se i file sono stati inviati dai computer attaccati perché lì ci sono oggetti privati. Ho cercato informazioni su una stima approssimativa del traffico di rete dall'ISP, ma anche con quelle informazioni sarà difficile sapere come Teamviewer era in esecuzione. Non c'è molto in termini di cronologia del browser oltre a visitare i siti di banche che sono ancora tutti lì, e ho setacciato (a occhio aperto per alcune ore) i vari registri di eventi di Windows e non ho trovato molto interesse (oltre a trovare il log di teamviewer e qualcosa che diceva che era stata avviata una scansione).
Senza un programma di terze parti e utilizzando CMD, come potrebbe un utente malintenzionato inviare file? Assumerei FTP in quanto Windows ha un client FTP integrato, ma non riesco a trovare alcun registro (né vorrei sapere dove sarebbe se ce n'è uno).
Finora la mia soluzione è stata quella di riprendere immagini di entrambi i dischi come backup e di reinstallare Windows su entrambe le macchine e di spostare solo alcuni documenti. Mentre questo protegge principalmente le macchine (oltre all'ingegneria sociale) non mi dice molto su cosa è successo durante la sessione di Teamviewer. Sfortunatamente la vittima è stata ben bilanciata e quindi non sembra avere un resoconto fantastico di qualcosa di diverso da "una raffica di testo che assomiglia a percorsi di file" e alcuni comandi di cd
.
Suppongo che la mia domanda generale sia:
In che modo i file possono essere spostati utilizzando solo le funzioni di Windows incorporate e conosci i registri che produrranno? C'è qualcos'altro che controlli o fai? Quali vari pezzi di storia controlleresti personalmente dopo un attacco del genere?
Ho un'immagine completa di entrambe le macchine e mentre stavo aggiornando una su un SSD mentre sono lì, ho anche un disco rigido completamente avviabile che non è stato alterato da quando è stato attaccato, quindi i log sono generalmente ancora tutti disponibili.