Cosa devo controllare quando analizzo un'invasione?

Il segreto per scoprire come sei stato hackerato di solito risiede nella preparazione prima dell'attacco piuttosto che dopo, configurando tutti i sistemi per inviare i registri ad un server di registro centrale, ad esempio. Questo perché molti tipi di pacchetti malware eliminano i registri per coprire le loro tracce e rendere difficile il ripristino; se i sistemi inoltrano i loro registri a un server centrale, aiuta a conservare il record. Se non c'è una registrazione centralizzata è possibile che non ci sia nulla da trovare, ma ecco come attaccherei comunque il problema.

L'obiettivo finale dovrebbe essere quello di stabilire una linea temporale, di quali sistemi sono stati violati, come sono stati violati, come si è diffusa l'infezione e quanto tempo è trascorso fino a quando l'attacco non è stato rilevato ei sistemi sono stati prelevati off-line. Tutte le informazioni che raccogli dovrebbero entrare in questa timeline. Una volta completata la cronologia, è possibile utilizzare la cronologia per ricostruire la sequenza di eventi e il probabile impatto.

Se il tuo ufficio si trova su una linea ADSL, è improbabile che tu disponga di server esterni, molto probabilmente tutte le connessioni provengono dall'interno della rete. Ciò significa che è improbabile che qualcuno abbia penetrato la tua rete dall'esterno, molto probabilmente qualcuno è stato infettato dall'apertura di un file malware inviato tramite e-mail (molto probabilmente un PDF) o che è stato indotto a navigare in un sito compromesso. È anche possibile che qualcuno abbia inserito il malware su una chiavetta USB o altro tipo di supporto rimovibile. I router ADSL sono in genere carenti in fase di registrazione (se sono addirittura configurati per farlo), quindi vorrei innanzitutto concentrarmi sui registri antivirus e Windows e utilizzare qualsiasi registro di router disponibile da integrare.

Se hai un server AD centrale, un server AV e simili, il lavoro sarà più facile. In caso contrario, dovrai esaminare le singole macchine interessate. Non hai indicato quanti sistemi sono stati violati, quindi questo può essere facile o difficile da fare a seconda della scala del problema. Vorrei iniziare con i registri AV, prevedendo che l'AV rilevasse il malware ma non proteggesse i sistemi. Se non trovi nulla, guarda i log di sistema. Tieni d'occhio i lettori java o adobe che iniziano e arresti anomali / riavvii imprevisti. Eventi del genere puntano a infezioni di successo.

Dopo aver determinato quali sistemi sono stati interessati e quindi è possibile esaminare i registri del router ADSL (a condizione che ce ne siano), e vedere cosa hanno fatto i sistemi infetti prima e dopo l'infezione. Il precedente consentirà di determinare in che modo il sistema è stato infettato (scaricando un'email, visitando un sito Web specifico) e il dopo potrebbe far luce sul malware (ovvero su quali sistemi di comando e controllo è connesso il malware) e su cosa ha fatto . È improbabile che tu sia in grado di determinare esattamente quali informazioni sono state perse, ma almeno sapendo che il malware era, per quanto tempo i sistemi sono stati infettati e quante informazioni sono state trasferite puoi avere un'idea dell'impatto.

Poiché la tua organizzazione sembra piccola, prova a creare immagini di tutti i desktop in modo che tu (o qualcun altro) possa esaminare i registri e i file system per qualsiasi cosa di valore off-line. In questo modo, puoi conservare dati forensi su ogni macchina e far tornare gli utenti rapidamente operativi.

Prenderò inoltre tutti i registri disponibili dagli switch e dal router ADSL, oltre a tutti i log e i registri del server da Anti-Virus, firewall o altri software / dispositivi relativi alla sicurezza.

Come per tutti gli altri problemi di "risposta agli incidenti", ci sono molte, molte cose che puoi fare per prevenire ulteriori violazioni e avere sistemi in atto per fornire molti più dati se il problema si ripresenta. Ma questo sembra oltre la portata della tua domanda.

mostly WinXP or Seven). All PCs connected to basic network hub-switch and the network is linked to internet via ADSL Router. Probably no logging

Piuttosto implica un'organizzazione molto piccola / budget IT molto piccolo.

sensitive information, like bank account data, passwords, personal info

... suggerisce un attacco mirato e sofisticato.

Questi 2 fatti non si risolvono veramente.

A company manager stated that

Non ho intenzione di chiedere come è arrivato da quell'informazione, ma dovresti.

Lasciando da parte questi per ora - se il tuo ruolo è quello di garantire la sicurezza dei sistemi, ciò significa anche assicurarne la disponibilità. Data la portata dell'operazione, non è forse la tattica migliore frenare i sistemi di raccolta delle prove piuttosto che rimetterli in servizio. Cosa ti aspetti di ottenere? È probabile che sarà semplicemente impraticabile condurre un'indagine oltre le mura dell'ufficio.

Inoltre, dedicare molto tempo a cercare di indagare su come l'invasore è entrato nella rete dovrebbe solo migliorare le tue conoscenze su come impedire che lo stesso attacco si ripresenti - gli attaccanti devono solo trovare una singola vulnerabilità - ma difendere una rete è necessario eliminare tutte le vulnerabilità.

Detto questo, è piuttosto semplice copiare i registri eventi (NB controlla anche i file .evtx. evt) altrove prima di cancellare / reinstallare.