Mi è stato comunicato dal team infosec della mia università che uno dei computer del mio laboratorio era stato infettato dal ransomware. Spengono le connessioni di rete del computer usando Crowdstrike e insistono sul fatto che il disco rigido debba essere reimaged.
Il computer è stato appena messo in rete venerdì, esegue Windows 7 Professional, Service Pack 1. L'IT non ha nemmeno il tempo di aggiornare Windows prima che la connessione di rete fosse bloccata lunedì mattina.
Il computer si è comportato come previsto. Non è stato notato alcun comportamento erratico.
Infosec ha citato il file lsass.exe
del computer come un problema (SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2)
Hanno affermato che questo file lsass.exe è "associato" con mssecsvc.exe__
(SHA256: 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0)
La ricerca sul disco rigido del computer indica che esiste un file lsass.exe
.
Non esiste un file mssecsvc
.
Scansioni complete con l'antivirus di Norton mostrano 0 minacce (nemmeno un cookie di tracciamento)
Il computer non è espressamente utilizzato per la navigazione web o e-mail. La connessione di rete esiste solo per fornire l'accesso ai file di rete locali.
Il reimaging del computer è eccessivamente costoso, in quanto ciò richiede la ricalibrazione completa dell'apparecchiatura di laboratorio collegata. Sono convinto che questo sia stato un falso positivo.
La mia domanda è: ho corretto? Questo computer è infetto? Secondariamente: come faccio a convincere un infosec professionista che si sbagliano su un file che è malware?
Grazie in anticipo!
Modifica per ulteriori informazioni richieste:
Uno screenshot del seguente messaggio Crowdstrike è stato condiviso:
lsass.exe
ASSOCIATED BEHAVIOR: High Severity Intel Detection
A hash matched a CrowdStrike Intelligence indicator that has previously been used in targeted attacks.
Associated IOC (SHA256 on file write): 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0
FILE PATH: \Device\HarddiskVolume2\Windows\System32\lsass.exe
SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2
COMMAND LINE: C:\Windows\system32\lsass.exe
USER NAME: [redacted]
START / END TIME: Feb 5., 2018 08:33:03
Il seguente link è stato quindi condiviso: link