Quindi ci sono davvero due lati di questa domanda.
1. Cosa posso fare ora. Sono stato violato.
a. È possibile visualizzare i registri di sistema. Invece di cercare di analizzare i vari registri del sistema, potrebbe essere più semplice utilizzare uno strumento di timeline come log2timeline. Questo raccoglierà tutti gli artefatti relativi alle prove cronologiche e li inserirà in un file .csv di facile lettura. Le informazioni sulla cronologia sono in realtà tutte le fonti log disponibili in un unico punto. Questo può davvero aiutare a determinare vari indicatori di compromesso e aiutarti a trovare dove è necessario dedicare del tempo a scavare nel tuo sistema.
b. Hai davvero bisogno di catturare un'istantanea della tua memoria il più presto possibile. È molto probabile che sul sistema siano ancora presenti residui di malware o informazioni sulla rete memorizzate nella cache sull'attaccante. Sono disponibili diversi strumenti di acquisizione della memoria gratuiti, come MoonSols DumpIt. Una volta che hai una copia della tua memoria, dovrai analizzarla e puoi usare uno strumento come Mandiant Redline (anche gratuito).
c. Se sei veramente serio nel trovare ciò che è stato preso sul tuo sistema, dovresti davvero prendere un'immagine forense del tuo disco rigido e lavorare sull'immagine, per responsabilità. Esistono alcuni strumenti gratuiti di imaging HDD, come FTK Imager. Una volta che hai un'istantanea del tuo HDD, puoi eseguirlo attraverso un toolkit di acquisizione forense come la suite forense di Autopsy. È quindi possibile eseguire i file con un elenco di hash di file non valido, che avviserà su file dannosi sul PC in base agli hash del malware in passato. Puoi caricare gli elenchi hash nel tuo strumento di acquisizione forense ed eseguirlo sul tuo file system. È possibile trovare elenchi di hash gratuiti e aggiornati presso NSRL (National Software Reference Library).
2. Come evitare di essere hackerato in futuro.
a. È una buona idea utilizzare lo strumento di raccolta e analisi dei registri sul tuo PC, un agente HIDS. OSSEC è un agente HIDS open source che funziona molto bene. Raccoglie i log dai PC e monitora i file critici del sistema e le voci di registro.
b. È una buona idea impiegare un sistema NIDS. Questo guarderà per i segni di compromesso sul filo. Strumenti come il suricata offrono eccellenti capacità di monitoraggio. Dai un'occhiata a SecurityOnion. È una distribuzione linux piena di strumenti come il suricata. Semplifica la configurazione di un sistema NIDS.
c. Hai davvero bisogno di essere aggiornato sulle patch. Impiegare uno strumento di valutazione delle vulnerabilità come OpenVAS (Open source). Ciò ti aiuterà a mantenere le vulnerabilità sulla tua rete.
d. Avere un solido piano di risposta agli incidenti !!! Questo è così importante.
e. Segui i 20 controlli critici di sicurezza SANS.