È noto quali misure si dovrebbero prendere per impedire agli hacker di hackerare il proprio PC. Ma ci sono dei passaggi che consentono a un utente di valutare il danno fatto da un hacker?
Dì che so per certo che qualcuno mi ha hacciato ieri. Ma non ho idea di cosa hanno fatto quando erano nel mio PC. C'è un modo per sapere quali file hanno preso (se ce ne sono) o quale exploit ha utilizzato l'hacker per ottenere l'accesso?
Quindi ci sono davvero due lati di questa domanda.
1. Cosa posso fare ora. Sono stato violato.
a. È possibile visualizzare i registri di sistema. Invece di cercare di analizzare i vari registri del sistema, potrebbe essere più semplice utilizzare uno strumento di timeline come log2timeline. Questo raccoglierà tutti gli artefatti relativi alle prove cronologiche e li inserirà in un file .csv di facile lettura. Le informazioni sulla cronologia sono in realtà tutte le fonti log disponibili in un unico punto. Questo può davvero aiutare a determinare vari indicatori di compromesso e aiutarti a trovare dove è necessario dedicare del tempo a scavare nel tuo sistema.
b. Hai davvero bisogno di catturare un'istantanea della tua memoria il più presto possibile. È molto probabile che sul sistema siano ancora presenti residui di malware o informazioni sulla rete memorizzate nella cache sull'attaccante. Sono disponibili diversi strumenti di acquisizione della memoria gratuiti, come MoonSols DumpIt. Una volta che hai una copia della tua memoria, dovrai analizzarla e puoi usare uno strumento come Mandiant Redline (anche gratuito).
c. Se sei veramente serio nel trovare ciò che è stato preso sul tuo sistema, dovresti davvero prendere un'immagine forense del tuo disco rigido e lavorare sull'immagine, per responsabilità. Esistono alcuni strumenti gratuiti di imaging HDD, come FTK Imager. Una volta che hai un'istantanea del tuo HDD, puoi eseguirlo attraverso un toolkit di acquisizione forense come la suite forense di Autopsy. È quindi possibile eseguire i file con un elenco di hash di file non valido, che avviserà su file dannosi sul PC in base agli hash del malware in passato. Puoi caricare gli elenchi hash nel tuo strumento di acquisizione forense ed eseguirlo sul tuo file system. È possibile trovare elenchi di hash gratuiti e aggiornati presso NSRL (National Software Reference Library).
2. Come evitare di essere hackerato in futuro.
a. È una buona idea utilizzare lo strumento di raccolta e analisi dei registri sul tuo PC, un agente HIDS. OSSEC è un agente HIDS open source che funziona molto bene. Raccoglie i log dai PC e monitora i file critici del sistema e le voci di registro.
b. È una buona idea impiegare un sistema NIDS. Questo guarderà per i segni di compromesso sul filo. Strumenti come il suricata offrono eccellenti capacità di monitoraggio. Dai un'occhiata a SecurityOnion. È una distribuzione linux piena di strumenti come il suricata. Semplifica la configurazione di un sistema NIDS.
c. Hai davvero bisogno di essere aggiornato sulle patch. Impiegare uno strumento di valutazione delle vulnerabilità come OpenVAS (Open source). Ciò ti aiuterà a mantenere le vulnerabilità sulla tua rete.
d. Avere un solido piano di risposta agli incidenti !!! Questo è così importante.
e. Segui i 20 controlli critici di sicurezza SANS.
La risposta dipende in gran parte da ciò che si sta eseguendo (ad esempio un PC personale o un grande server aziendale, un sistema operativo in uso). Il mio primo passo sarebbe quello di raggiungere i professionisti in questo settore. Se hai accesso a un team di sicurezza del computer / dipartimento IT (ad esempio all'interno di un'azienda), li consulterò immediatamente. Se sei negli Stati Uniti, puoi probabilmente utilizzare le risorse disponibili presso il Computer Emergency Readiness Team: link A livello globale, potresti trovare una squadra che può aiutarti qui: link
Se questo è il tuo PC personale e non sei in grado di raggiungere un altro professionista della sicurezza informatica, disconnetterei il computer da Internet per prevenire ulteriori danni (se fattibile), quindi guarda i file di registro per cercare ha fatto l'hacker. Il modo in cui lo fai varia a seconda del sistema operativo in esecuzione. Esistono strumenti che semplificano la revisione dei file di registro (incluso Splunk). Se stai utilizzando un server Linux, questa domanda può essere utile anche per la scientifica: Come fai a sapere che il tuo server è stato compromesso? Un'altra buona domanda simile è: Forensics dopo il compromesso del server web
Potresti riuscire a trovare altri buoni strumenti per la revisione dei file di registro sotto questa domanda che ho appena chiesto: link
Leggi altre domande sui tag forensics incident-response