Come può un principiante trovare la prova di un compromesso di sistema?

5

Sono quasi certo che un collega abbia installato un keylogger sul mio sistema. Sono totalmente nuovo alla sicurezza IT, ma ho notevole esperienza linux / windows / programmazione.

Il sistema che ritengo compromesso sta eseguendo Windows 7 con Eset Smart Security. Qualsiasi compromesso sarebbe da script personalizzati (probabilmente python).

Qualcuno può indicarmi la direzione delle risorse di cui avrei bisogno per trovare il compromesso? Sarebbe anche utile se potessi trovare l'origine di qualsiasi infiltrazione.

Sto cercando di dedicare 10-30 ore a questo, e altro se produrrà risultati solidi. Mi piacerebbe ovviamente attuare misure per contrastare gli attacchi futuri, a patto che non dedichi più di 5 ore alla settimana. È possibile?

Ci sono canali o forum IRC che potrei verificare per informazioni più approfondite sulla sicurezza / analisi forense?

Grazie!

    
posta Allen Watsdal 26.12.2012 - 18:47
fonte

6 risposte

7

Ci sono molti modi per trovare i key logger. Alcuni impiegano più tempo di altri e possono anche fornire risultati falsi negativi.

  • Acquista un noto software anti-key logger. Oppure cogli le tue possibilità con una distribuzione gratuita.

Questa è la tua prima difesa e la cosa più facile che puoi fare. Uno scanner può trovare file sospetti o elaborarli e contrassegnarli. A questo punto, fai ricerche su questi processi e scopri se sono legittimi o meno.

Il software potrebbe non funzionare sempre perché un buon keylogger può nascondersi molto bene.

  • Scansiona le porte del tuo computer e registra tutto il traffico.

Cerca se il tuo computer deve trasmettere traffico particolare o no. Questo può richiedere molto tempo a seconda del numero di programmi / servizi installati.

Se trovi qualcosa di straordinario qui, puoi cercare e scoprire a cosa serve il traffico. Una tipica domanda che dovresti fare è: dovrei avere la porta 80 aperta sul mio computer?

Questo metodo può fornire un falso negativo perché il keylogger potrebbe non essere in esecuzione o inviare informazioni in quel momento.

  • Confronta i file con file noti noti

Potrebbe essere molto che richiede tempo, a seconda di quanti file hai. Per fare questo, puoi prendere un hash MD5 del tuo file e confrontarlo con un hash MD5 di un buon file che si trova su un'installazione predefinita con gli aggiornamenti e il software appropriati, o con un buon backup. Se i file sono diversi, md5 sarà diverso. Probabilmente dovresti montare il disco rigido in modo da sapere che il sistema operativo corrente non è in esecuzione.

Chiediti se i file saranno diversi o meno. I file di registro saranno diversi, il file di pagina sarà diverso, ecc. Potresti cercare un sistema diverso.

  • sono stati aggiunti file?

Scopri se i file sono stati aggiunti rispetto a un'installazione predefinita o a un backup di tipo noto.

Verifica se i file sono legittimamente installati sul tuo computer. Ad esempio, potrebbe sembrare che Skype sia un programma legittimo, ma non l'hai mai installato. Un keylogger potrebbe essere mascherato come qualcosa di simile.

  • Che altro posso fare?

Controlla se il tuo boot loader è infetto.

Utilizza uno scanner rootkit.

Controlla il firmware.

    
risposta data 27.12.2012 - 01:06
fonte
5

Personalmente non devi fare nulla.

Non toccare la macchina da questo punto in poi. Invece, vai direttamente a chi gestisce la sicurezza delle informazioni nella tua organizzazione e segnala i tuoi sospetti.

Se non sai chi sia quella persona, vai al tuo Line Manager, al referente HR o al responsabile IT. Se sei abbastanza piccolo da non averne nessuno, sei abbastanza piccolo da avvicinarti direttamente al capo di tutta l'organizzazione.

In quasi tutte le società questo è qualcosa che il tuo collega sarà immediatamente licenziato per aver fatto; la tua organizzazione avrà processi da seguire, e l'ultima cosa di cui hanno bisogno è che tu possa compromettere la macchina in modo forense provandoci sopra.

Questo non è un problema tecnico, è un problema di risorse umane. Anche se non ti importa di questo collega che vede cosa scrivi, quali altre dannate sciocchezze stanno facendo?

    
risposta data 27.12.2012 - 10:43
fonte
4

La risposta di Iserni è stata toccata, ma penso che valga la pena di essere evidenziata.

Un approccio meraviglioso per indagare su come ti stanno spiando è diffondere informazioni false. Apri un documento con un blocco note e fai finta di avere una conversazione istantanea su quanto sei contento del tuo enorme bonus natalizio (inserisci la figura adatta che lo farà arrabbiare immensamente). O parla di come verrà licenziato il talco.

Il punto è scrivere qualcosa che sicuramente parlerà agli altri, ma non dirlo a nessuno.

In questo modo, non appena si sparge la voce, sai per certo da dove proviene. E avere una prova del genere, certamente sufficiente per sfruttare una confessione.

    
risposta data 27.12.2012 - 17:11
fonte
2

Prima di tutto, un disclaimer "legale": se il tuo collega lo ha fatto, in che modo ciò si riferisce alle politiche di sicurezza della tua azienda e chi è responsabile di quest'ultimo? Due possibili soluzioni potrebbero essere quelle di andare al tuo $ {BOFH} locale e cercare assistenza, o lasciare un ampio suggerimento per farlo (perché "la tua workstation si sente pigra" per esempio) nella speranza che il tuo collega proceda quindi a annullare il danno.

Inoltre dovresti chiederti come stai contro questo tuo collega - cioè, perché lo ha fatto? Questo tipo di comportamento è accettabile? Come reagirà alla tua inchiesta sulla situazione se si renderà conto che sta accadendo? Cosa farai se scoprirai qualcosa e cosa succederebbe se non scoprissi nulla?

Una risposta esauriente non è fattibile per i motivi già indicati da Scott Pack, quindi questo è il mio tentativo molto stretto.

Se hai bisogno / vuoi prendere giustizia nelle tue mani, per così dire, fai attenzione a farlo in un modo che non sia incompatibile con le politiche di sicurezza della tua azienda. Per esempio, un trucco sporco che confesso di aver interpretato un mio collega oh tanti anni fa ha implicato la possibilità di lasciare a "me stesso" (e chiunque potrebbe impersonare me, cioè lui) un eseguibile che pretende di essere un gioco scherzoso. In realtà era un'applicazione "screamer", che era just borderline accettabile perché fingevo di credere che fosse stato ingannato dallo stesso sito web che mi aveva ingannato. Questo tipo di schema è una variante del "vaso del miele" ed è spesso usato con i documenti; fondamentalmente diffondi informazioni (eseguibili, documenti, ecc.) in modo tale che chiunque abbia accesso improprio a loro è destinato a modificare il suo comportamento in modo riconoscibile . Se il nuovo comportamento comporta la violazione della legge, l'informazione è chiamata sting e quella che la fornisce (cioè tu) potrebbe essere perseguita in alcune legislazioni.

Un modo più diretto di raccogliere prove sarebbe quello di investigare la struttura e il comportamento della macchina stessa. I keylogger hardware sono sostituzioni di tastiera o piccoli plug-in che si trovano lungo il cavo della tastiera (in configurazioni più sofisticate, all'interno della tastiera stessa). I keylogger del software sono in tempo reale (cioè trasmettono le chiavi via IP, solitamente tramite UDP, e sono visibili agli sniffer della LAN - o vedi connessioni TCP ESTABLICATE inspiegabili in qualche posto strano come la workstation del tuo collega, o il traffico UDP ugualmente inspiegabile) o ritardato. Questi ultimi memorizzano continuamente il loro bottino in file nascosti e vedrai processi non spiegati che aprono i file usando, ad es. Process Explorer, o al riavvio o al logout utente. In quest'ultimo caso, è possibile riconoscere i keylogger incuranti controllando qualsiasi file che risulta essere stato modificato dall'ultimo riavvio / disconnessione. Potresti ad es. riavvia due volte, aprendo e chiudendo il blocco note, uno quasi senza usare la tastiera, il secondo dopo aver scritto (e non salvato) alcuni kilobyte di spazzatura. Controllare i tempi e le dimensioni dei file modificati dovrebbe offrire alcuni suggerimenti.

Un'altra tecnica (che normalmente richiede di partire da un sistema pulito conosciuto, che sicuramente non è il tuo) è calcolare una firma di integrità da tutti i file di sistema e non di sistema (google, ad esempio "TripWire"). Questo aiuterà sia ad accertare ulteriori modifiche (ma ricorda che Windows Update di solito mantiene il sistema in uno stato molto fluido :-)) e individua quei file i cui timestamp non hanno cambiato mentre il loro contenuto , che è tipico dei keylogger più avanzati (è possibile nasconderlo da un controllo data / ora, ma non da un controllo MD5, essendo quest'ultimo molto costoso e quindi raro, ha senso cercare di contrastare il primo).

Infine, tieni un registro dei tuoi accessi alla tua stazione di lavoro e verifica con i registri di accesso del sistema se ci sono discrepanze.

    
risposta data 26.12.2012 - 20:18
fonte
0

A seconda del tipo di keylogger ci sono diversi modi per andare sul tuo compito. Alcuni di questi sono abbastanza semplicistici e alcuni sono abbastanza complicati e tecnici. Questo può variare da "ci sono dei dispositivi collegati al computer che non dovrebbero essere?" fare analisi forensi dettagliate.

Se sospetti che si sia verificato un crimine, è non consigliato che tu stesso stia scavando per questo. Continuare a giocherellare con il computer potrebbe compromettere le prove e renderlo inammissibile in tribunale. Esegui e aggiornato AV. Esegui uno scanner malware aggiornato. Se ciò non risolve il tuo problema, ti consiglierei di portarlo da un professionista.

    
risposta data 26.12.2012 - 20:18
fonte
0

La maggior parte degli infetti (come un keylogger) avrà bisogno di un metodo di persistenza per mantenere l'abilità di infezione al riavvio del computer. Come controllo iniziale, la Autoruns di Sysinternals Tool offre la possibilità di controllare le posizioni in cui opera Windows 7 sistema guarda al momento dell'accesso al computer. Il controllo di queste voci per le voci sospette con l'indicazione della data e dell'ora di installazione ti aiuterà a eseguire una valutazione iniziale e, auspicabilmente, se il tuo avversario non è completamente competente, rivela un risultato.

    
risposta data 27.12.2012 - 21:31
fonte

Leggi altre domande sui tag