Controllo di realtà: quali azioni dovrebbero essere intraprese se un tentativo di hacking sembra essere un falso positivo

Naviga le tue risposte
5

Premessa:

Qualche tempo fa un mio amico ha creato un account di posta Microsoft (Live Id / Account Microsoft. Aveva solo bisogno della posta) da utilizzare per ricevere alcuni messaggi. L'account è stato creato e quindi non è stato utilizzato per alcuni giorni. Successivamente, quando l'accesso all'account è avvenuto di nuovo circa una settimana dopo, il sistema ha segnalato che l'account è stato sospeso perché sono state rilevate attività sospette. La pagina di sicurezza dell'account riportava un "tentativo di accesso riuscito" da un IP non riconosciuto circa 10 minuti dopo la creazione iniziale dell'account. La password dell'account era abbastanza strong e non condivisa con nessun altro account, il nome dell'account è stato scelto nel momento in cui l'account è stato creato e non poteva essere ragionevolmente noto ad altre persone, quindi l'unico modo in cui alcune terze parti potrebbero conoscere l'account le credenziali in meno di 10 minuti dalla creazione dell'account potevo pensare a un keylogger o un malware spia simile sulla macchina.

A questo punto il mio amico mi ha contattato per chiedere aiuto. Ho immediatamente cercato tracce di un'infezione o altri compromessi del sistema, ma non sono riuscito a trovare alcun segno di infezione sulla macchina, un computer basato su IMac / Osx. Nessuna app canaglia visibile, la configurazione del router sembra ok (avevo anche provato alcuni strumenti online come F-Secure Router Checker per verificare se vi fosse traccia di un dirottamento del dns router-lever). Poi ho notato che l'IP "sconosciuto" che si supponeva avesse accesso alla mail era 65.55.52.40 - un IP appartenente a Microsoft. Contattare il supporto del servizio non ha dato alcun risultato (nessuna meraviglia): alcuni dipendenti sembravano suggerire che il sistema potrebbe effettivamente causare falsi positivi provenienti da script di manutenzione interna, ma non è stata trovata alcuna documentazione ufficiale sul problema.

Quindi, per farla breve: Microsoft riporta che qualcuno ha utilizzato le credenziali corrette per accedere all'account, l'accesso è datato solo < 10 minuti dopo la creazione dell'account, quindi non c'è tempo per rinforzare l'account. O presumo che ci sia una specie di spyware sulla mia macchina amica e suggerisco una cancellazione completa O gli dico che probabilmente era un falso positivo (l'ip di Microsoft sembra suggerire così) e che probabilmente dovrebbe ignorarlo.

Ora mi sto chiedendo quali sarebbero le azioni migliori in tal caso.

NOTA LATERALE: Tecnicamente, un hacker che accede all'account potrebbe facilmente falsificare il suo IP in modo che appaia come Microsoft posseduto per cercare di nascondere la sua attività. Ma mi chiedo se una tale tecnica possa davvero funzionare: imho un simile comportamento sarebbe l'equivalente di cercare di ingannare una banca per dare accesso a qualcun altro account mentre presenta loro una carta d'identità falsa con il nome del dipendente di fronte a te stampato su .... spero che Microsoft sia almeno un po 'sospettosa quando riceve una richiesta via Internet da un PC remoto che dichiara di essere una macchina nella propria rete ...

    
posta user145772 14.04.2017 - 13:03
fonte

1 risposta

1

Come la prova di un compromesso di successo è stata citata, il mio suggerimento sarebbe quello di isolare il computer dalla rete e osservarne il comportamento (ad esempio il traffico di rete). Le informazioni raccolte da questo potrebbero far luce sul modo in cui è stato eseguito il compromesso, e quindi su come evitarlo in futuro.

Dopo questo passaggio, il computer dovrebbe essere cancellato, gli aggiornamenti eseguiti e tutte le password e le credenziali per gli account utente dovrebbero essere cambiate.

Per enfatizzare sulle postulazioni precedenti: se Microsoft è direttamente o indirettamente coinvolto in un compromesso è irrilevante qui; un sistema Microsoft potrebbe essere violato e un software proxy o VPN installato su di esso per coprire le tracce ... Dopo tutto, nessuno in Microsoft vorrebbe ammettere un attacco così imbarazzante; lo coprono.

I am now wondering on what the best actions would be in such case

Per lo meno, per citare quello che ho scritto in precedenza, "il computer dovrebbe essere cancellato, gli aggiornamenti eseguiti e tutte le password e le credenziali per gli account utente dovrebbero essere cambiate." Questo non farà capire su come è stato eseguito il compromesso, ma questa intuizione potrebbe non essere necessaria. Tendo ad essere curioso di questo genere di cose, quindi è probabile che eseguirò alcune indagini prima di quella fase di ripristino del sistema , e dalla mia esperienza di solito c'è una botnet da osservare, e un leader ripetendo lo stesso attacco su più persone nel futuro.

EDIT: il seguente è stato il risultato di un'interpretazione errata della domanda, e non risponde alla domanda, ma presenta alcuni buoni consigli quindi lo lascerò, con le sezioni non valide colpito così .

È una buona pratica cambiare la password ogni pochi mesi. L'account è stato appena creato, e non ci sono motivi validi per sospettare che la password sia nota .

Some time ago a friend of mine created a Microsoft based mail account (Live Id/Microsoft Account. He just needed the mail) to use for receiving some messages. ... All seems to point to a keylogger or similar infection on the client used to create the account.

Sembra assurdo pensare che l'unica persona che sapeva che l'indirizzo email era il cliente, non è così? Dopotutto, il client stava "ricevendo alcuni messaggi".

Inoltre, se il client è keyloggato, sembra assurdo pensare che gli hacker abbiano bisogno di una forza bruta; se hanno le tue battute, possono ... riprodurre la tua password.

Forse il mittente voleva rompere l'account ma non voleva che ci fosse alcuna prova e quindi per coprire le tracce, usato un sistema Microsoft irrilevante (l'IP che hai menzionato).

Ci sono anche emozioni da considerare. Supponiamo che mittente pensi che il ricevitore diventerà paranoico, e innescare la paranoia semplicemente inserirà l'email in una pagina di phishing con una password falsa. Sì, la gente sono spesso estremamente vulnerabili a hacking emozionale .

Che sia mittente / hacker / qualsiasi cosa sia interna a Microsoft o meno, questo dettaglio non riguarda la domanda. Ciononostante, è possibile che il sistema Microsoft sia stato infiltrato da un dipendente Microsoft in posa come un hacker russo tramite Tor, che è stato poi utilizzato per ospitare un sito di phishing successivamente utilizzato da mittente per innescare ansia significa che la colpa è condivisa tra gli attaccanti due (modifica: multipli), e lo staff di servizio con cui hai parlato di non voler finire nei guai per tale uno stupido (edit: un imbarazzante) attacco implicitamente essendo un terzo ; quanto può essere profonda la tana del coniglio? Non è importante.

No, il computer non dovrebbe essere cancellato a meno che non ci siano prove conclusive che sia stato compromesso. In questo caso, non sembra esserci alcuna evidenza conclusiva (o anche evidenza lievemente suggestiva ), quindi anche la modifica della password per la casella di posta in arrivo non è necessaria.

I am now wondering on what the best actions would be in such case

(modifica: vedi suggerimento in cima al post)

Ciononostante, cambiare la password ogni pochi mesi è una buona pratica di sicurezza. Forse fare un memo per cambiare la password in pochi mesi è la cosa più appropriata da fare qui:)

    
risposta data 15.04.2017 - 20:37
fonte

Leggi altre domande sui tag

Rilascio dei certificati TSA (Time Stamping Authority) Password comuni tra server / siti Web su una piattaforma di sviluppo