Come dimostrare un falso positivo

Naviga le tue risposte
3

Mi è stato comunicato dal team infosec della mia università che uno dei computer del mio laboratorio era stato infettato dal ransomware. Spengono le connessioni di rete del computer usando Crowdstrike e insistono sul fatto che il disco rigido debba essere reimaged.

Il computer è stato appena messo in rete venerdì, esegue Windows 7 Professional, Service Pack 1. L'IT non ha nemmeno il tempo di aggiornare Windows prima che la connessione di rete fosse bloccata lunedì mattina.

Il computer si è comportato come previsto. Non è stato notato alcun comportamento erratico.

Infosec ha citato il file lsass.exe del computer come un problema (SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2) Hanno affermato che questo file lsass.exe è "associato" con mssecsvc.exe__ (SHA256: 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0)

La ricerca sul disco rigido del computer indica che esiste un file lsass.exe . Non esiste un file mssecsvc . Scansioni complete con l'antivirus di Norton mostrano 0 minacce (nemmeno un cookie di tracciamento) Il computer non è espressamente utilizzato per la navigazione web o e-mail. La connessione di rete esiste solo per fornire l'accesso ai file di rete locali.

Il reimaging del computer è eccessivamente costoso, in quanto ciò richiede la ricalibrazione completa dell'apparecchiatura di laboratorio collegata. Sono convinto che questo sia stato un falso positivo.

La mia domanda è: ho corretto? Questo computer è infetto? Secondariamente: come faccio a convincere un infosec professionista che si sbagliano su un file che è malware?

Grazie in anticipo!

Modifica per ulteriori informazioni richieste:

Uno screenshot del seguente messaggio Crowdstrike è stato condiviso: 

lsass.exe
ASSOCIATED BEHAVIOR: High Severity Intel Detection
A hash matched a CrowdStrike Intelligence indicator that has previously been used in targeted attacks.
Associated IOC (SHA256 on file write): 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0
FILE PATH: \Device\HarddiskVolume2\Windows\System32\lsass.exe
SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2
COMMAND LINE: C:\Windows\system32\lsass.exe
USER NAME: [redacted]
START / END TIME: Feb 5., 2018 08:33:03

Il seguente link è stato quindi condiviso: link

    
posta matt2103 06.02.2018 - 21:51
fonte

3 risposte

3

In realtà ci sono alcune bandiere rosse che mi distinguono.

The computer was only just put on the network on Friday, it runs Windows 7 Professional, Service Pack 1. IT did not even have time to update Windows before the network connection was blocked on Monday morning.

Letture: è stato collegato un computer che esegue una versione di Windows non aggiornata e non aggiornata su una rete universitaria. Non ha un sistema immunitario e tu lo hai appena esposto a qualunque agente patogeno galleggia sulla rete ... e dato che è un'università, ce ne saranno molti.

The computer has been behaving as expected. No erratic behavior has been noticed.

Letture: il ransomware sta facendo il suo lavoro come progettato. Non sei supposto che noti qualcosa di irregolare.

Infosec cited the computer's lsass.exe file as a concern (SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2) They stated that this lsass.exe file is "associated" with mssecsvc.exe__ (SHA256:74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0)

Searching the computer's hard disk shows that there is an lsass.exe file. There is no mssecsvc file.

I malware possono essere di natura dinamica. Solo perché un lsass.exe compromesso ha approfittato di mssecsvc nei casi in cui ne siamo a conoscenza, non significa che non stia abusando di un altro eseguibile nel tuo caso.

Ovviamente hai lsass.exe sulla tua scatola; tutti i computer Windows fanno. Ti stanno dicendo che sei pwnato perché il tuo hash hass corrisponde a quello delle versioni conosciute e compromesse. Hai eseguito l'hash della tua copia per verificare o rifiutare la richiesta?

Full scans with Norton antivirus show 0 threats (not even a tracking cookie)

Letture: l'AV locale è probabilmente compromesso.

The computer is expressly not used for web browsing or e-mail. The network connection only exists to provide access to local network files.

Un lotto di ransomware utilizza esplicitamente le condivisioni di rete locali per diffondersi una volta che si intrufola nella tua rete. Questo non è un sostituto per la protezione.

Purtroppo questo potrebbe non essere un falso positivo. Capisco la posta in gioco, ma provo a lavorare con loro per rimediare a questa situazione. Anche se hai ragione, è probabile che abbiano visto che hai una versione gratuita e sfruttabile di lsass sulla tua macchina basata sull'hash, che è stata precedentemente sfruttata in altri attacchi. Potresti vedere se sarebbero disposti a darti l'accesso a Internet DMZ in modo da poterlo correggere, aggiornare le tue firme AV e vedere se valuteranno la tua macchina.

    
risposta data 06.02.2018 - 23:00
fonte
2

LSASS è il servizio di sottosistema dell'autorità di sicurezza locale che fa parte di Windows e viene preso di mira dal malware per estrarre le credenziali dell'utente dalla memoria. Quindi sì LSASS è un file legittimo normalmente.

Ora il punto di dolore, ascolta la tua squadra di infosec. Se questo è ransomware, potrebbe aver tentato di accedere a LSASS per estrarre credenziali in modo che possa spostarsi lateralmente nella rete. Non essere in grado di trovare un file su disco non significa che non ci sia.

L'AV locale non lo rileva - le tue firme AV sono aggiornate? Molto probabilmente non si connetterebbe solo la scatola alla rete. Macchina senza patch in rete, anche per una condivisione di rete, suona come l'exploit SMB è stato utilizzato per infettare il computer.

Ascolta il tuo team infosec: sono in una posizione migliore rispetto a te per effettuare la chiamata.

    
risposta data 06.02.2018 - 23:07
fonte
-1

Sono d'accordo con la risposta di Ivan, e volevo semplicemente inserire informazioni da un'altra angolazione.

Al momento non ci sono collisioni conosciute di SHA256. Le persone cripto hanno cercato di trovarne una per un po 'ora e hanno fallito.

Affinché questo sia un falso positivo, devi credere che l'hash SHA256 di un componente malevolo si verifichi, in pura coincidenza, per abbinare l'SHA256 di un componente sul tuo sistema operativo e che tu sia riuscito a fare accidentalmente cosa l'intera comunità crittografica non è riuscita a fare.

    
risposta data 06.02.2018 - 23:24
fonte

Leggi altre domande sui tag

Pulizia di un server con dati sensibili Implementazione Linux add_interrupt_randomness - contributo di bassa entropia per cicli e jiffies?