Powershell aperto, passato alla modalità amministratore e eseguito gli script tutti senza che io tocchi il mio computer. Quanto dovrei essere preoccupato?

3

Sono su un laptop con Windows 8.1 connesso a Internet che esegue Kaspersky. Sono l'unico utente e amministratore di questo laptop. Mentre facevo il mio solito lavoro, mi sono fermato un attimo (togli le mani sia dalla tastiera che dal mouse) durante il quale una PowerShell finiva aperta da sola e iniziava a lampeggiare. Con ciascun flash, la finestra passava da Amministratore a modalità normale fino a dopo circa tre secondi e rimaneva fissa in modalità Amministratore. Si è fermato per circa mezzo secondo e poi ha eseguito qualcosa così veloce che non sono riuscito a vedere cosa fosse e poi una seconda finestra di PowerShell si è aperta davanti ad essa e ha fatto funzionare qualcos'altro ma questa volta tutto l'output era in testo rosso. Ho provato a google in giro e scoprire cosa potrebbe aver causato questo, ma non sono stato in grado di trovare nulla di valore, quindi spero che qualcuno in questa comunità possa avere consapevolezza di cosa sia, che io sia o no dovrebbe essere preoccupato e cosa dovrei fare al riguardo.

In breve: Powershell si è aperto da solo su Windows 8.1, si è modificato in modalità Amministratore e ha eseguito due script tutti senza che io abbia toccato nulla. Dovrei essere preoccupato o terrorizzato?

    
posta Maxwell's Demon 19.12.2014 - 02:41
fonte

2 risposte

6

Mentre consiglierei di seguire il suggerimento di ekaj e di trascinare i tuoi registri per essere sicuro, mi sembra molto sospetto.

Se hai autorizzato gli aggiornamenti automatici, è possibile che questo facesse parte di uno script di aggiornamento ... ma solitamente gli aggiornamenti presentano informazioni utente abbastanza formalizzate.

La scommessa più sicura è quella di assumere il peggio - e pulirlo e ricostruirlo. Un PowerShell eseguito come amministratore avrebbe potuto eseguire qualsiasi cosa.

Qui abbiamo una serie di domande su cosa fare una volta che una macchina è stata compromessa ... la risposta canonica è, tuttavia, per eseguire una cancellazione completa e ricostruire da un backup pulito noto o da un supporto di installazione.

    
risposta data 20.12.2014 - 13:14
fonte
2

So di essere in ritardo per questa festa, ma questa domanda mi è venuta mentre stavo cercando Sec.SE in relazione a un'altra situazione con cui ho a che fare al lavoro. Penso anche che potrei fornire qualcosa di utile che non è stato ancora toccato. Anche se sono d'accordo con Rory Alsop, vorrei aggiungere anche qualcosa che sia a sostegno della sua risposta sia che fornisca un altro consiglio oltre a cancellare il computer; che consiglio vivamente di fare (probabilmente ora avete già FATTO). Infine, questo è per chiunque altro venga a questa domanda e può ottenere forse una visione completa tra entrambe le nostre risposte.

Rispondi alla mia risposta ... (e questo aggiunge solo alla risposta originale accettata, controlla sempre prima i registri e fai qualche ricerca)

Per quanto mi riguarda, sarei ugualmente preoccupato che qualunque cosa fosse in esecuzione fosse in grado di elevarsi all'Amministratore in PowerShell. Questo potrebbe (non è definito) indicare che qualunque cosa stia eseguendo ha afferrato le tue credenziali dalle credenziali memorizzate nella cache che Windows memorizza sul disco locale, o da qualche keylogger che potrebbe essere rimasto nascosto, e poi le ha usate per elevarsi e far funzionare un miriade di cose. Ci sono diversi modi in cui la password dell'amministratore (e altre password) potrebbe essere stata compromessa se effettivamente ciò accadesse. Questo mi porta sulla strada di essere paranoico e di assumere il peggio come è già stato detto, il che significa che le tue password sono state rubate (diciamo FERRO RUBATO per il contesto di questa risposta) e ora hai questo come problema. Qui ci sono due cose da fare, oltre a pulire il computer e ricominciare da capo.

  1. Modifica le password utilizzate su questo computer, indipendentemente dal loro scopo. Non si sa mai cosa è stato compromesso se un keylogger o un pezzo di software dannoso si è seduto sul tuo sistema senza che tu lo sappia.
  2. Crea un account utente normale che usi per l'uso quotidiano e un account utente amministrativo che usi solo quando qualcosa deve essere eseguito con l'autorizzazione di un account con privilegi elevati; attivare UAC (Controllo account utente) per rafforzare questa tattica ed eseguire le cose come amministratore quando necessario. In questo modo, se il tuo account normale viene compromesso, l'account dell'amministratore non verrà automaticamente compromesso e gli hacker sarebbero più difficili nel tentativo di eseguire un attacco riuscito.
  3. Utilizza una macchina virtuale: crea una macchina virtuale su cui lavorare in modo sensibile, privilegiato da amministratore. Usa ancora la tattica # 2 sopra quando usi questa VM e accedi con un utente normale e usa le credenziali di amministratore solo se necessario usando "Esegui come amministratore". Se la VM è compromessa, è sufficiente eliminarla e crearne una nuova da zero. Mentre la VM escape (l'atto di fuggire di nuovo dalla VM nella macchina host) non è impossibile, è molto più difficile di quanto la maggior parte delle persone capisca. Utilizza i vari strumenti di istantanea integrati nella maggior parte degli hypervisor di oggi per rendere davvero efficace questa tattica, quindi non dovrai cancellare la tua macchina principale ogni volta che succede qualcosa del genere.
risposta data 04.01.2016 - 22:59
fonte

Leggi altre domande sui tag