Come sradicare e recuperare una rete compromessa

Naviga le tue risposte
5

Ho una domanda piuttosto ampia relativa a una minaccia specifica e continua che sto cercando di definire e difendere.

In questo momento, ho bisogno di ricostruire un punto di accesso sicuro per i miei dispositivi mobili e computer per la connessione a Internet. Userò una VPN, tuttavia, mi sto interrogando su altre strategie che ci sono per difendermi. Attualmente sto seguendo NIST: Guida alla gestione degli incidenti di sicurezza del computer per ottenere un punto di partenza per la gestione degli incidenti attuali e futuri.

Problema:

Possiedo un gateway Internet fornito da un ISP ed è stato rilevato da un utente malintenzionato. Credo che sia il vettore di attacco iniziale originato da una chiavetta USB infetta. Qualunque cosa fosse ora influenza completamente il gateway, rilevando il contesto hardware, i registri e il firewall. Gli indirizzi MAC per gli ingressi Ethernet sono cambiati in uno strano (generico?) E sembra essere collegato ai pacchetti in entrata e in uscita. Le impostazioni MAC e log non cambieranno con i miei tentativi anche con una connessione cablata al socket Ethernet amministrativo.

Il WiFi emette un nuovo segnale in tandem con i dispositivi originali e connessi che iniziano a emettere pacchetti dispari con l'indirizzo MAC sopra indicato, anche se il dispositivo non deve utilizzare Ethernet.

Tentativi:

Dispositivi: ho provato a reinstallare il sistema operativo su macchine che emettevano strani segnali. Gli aggiornamenti potrebbero anche introdurre nuovi malware e backdoor.

Gateway: i ripristini e gli aggiornamenti di fabbrica non sembrano aiutare.

Situazione attuale Mi sento preso di mira dall'attaccante come se ogni attacco sembrasse personale alla mia professione. Ho presentato un rapporto della polizia e un reclamo IC3, anche se desidero sapere se posso ricostruire in modo sicuro o sicuro con uno o più attaccanti guidati e abili.

Quello che sto chiedendo

Come si creerebbe una build sicura sull'unità Gateway dell'ISP? L'unità dovrebbe essere sostituita o potrebbe esserci un modo per riportare il firmware ai valori di fabbrica?

E ci sarebbe un modo per proteggere i miei dispositivi da un access point dannoso?

    
posta R Drive 25.06.2018 - 00:54
fonte

1 risposta

1

L'ho fatto su larga scala in un'azienda. Quello che abbiamo fatto è stato creare una rete air gap con una nuova caduta da un ISP, e i server AD ci hanno fornito una base stabile e ragionevolmente sicura. Quindi abbiamo creato nuove VLAN sulla rete principale in cui sono stati commutati i gruppi di utenti su base pianificata, assicurando che ciascuno di essi fosse messo in quarantena / reimmaginato e introdotto nella nuova rete. La creazione di una nuova infrastruttura aziendale non era nel budget, motivo per cui abbiamo utilizzato le nuove VLAN sul core.

Per una rete domestica in cui l'obiettivo è costruire una nuova rete, eseguirò un reset di fabbrica sul tuo gateway, quindi hai una "macchina pulita"? Lo userei per ripristinare la tua WiFI con tutte le nuove password e portare una macchina online alla volta, puoi vedere un problema quando una macchina si connette? Personalmente sembra un po 'come il malware VPNFilter, ma è solo un'ipotesi.

    
risposta data 25.06.2018 - 04:41
fonte

Leggi altre domande sui tag

Posso usare 'lsof' per determinare in modo affidabile quale processo locale si è connesso alla mia porta aperta? Devo andare per Master of Science di GIAC SANS e cosa fare con il mio certificato GSEC in scadenza?