Rileva trojan / keylogger / virus su una rete aziendale

Naviga le tue risposte
3

Su una rete di computer aziendali con circa 50 computer, c'è un computer infetto.

Dobbiamo trovarlo e rimuoverlo.

Ho eseguito il software qui sotto nei computer sospetti, ma non ho trovato nulla:

  • Kaspersky
  • MarlwareBytes
  • Spy-Hunter
  • Spybot
  • Avast!

Questo software è abbastanza buono o ho bisogno di cercarne un altro?

Ora sto pensando di eseguire un analizzatore di rete.

Qualcuno ha un'idea o un approccio diverso?

    
posta Bruno Fontainha 16.12.2015 - 12:07
fonte

3 risposte

3

Non fornisci quasi nessuna informazione: posso a malapena dedurre che stai utilizzando Windows dal software che hai usato.

La domanda chiave è, come sai che il computer a è infetto? Questo probabilmente ti darà la chiave su come scoprire quali computer è.

Mancano le informazioni, ti elenco solo alcune delle possibilità quasi infinite:

  • alcuni file sono accessibili e danneggiati / cancellati = > puoi controllare i registri degli accessi laddove disponibili, o controllare le connessioni di rete usando, se non altro, avide NETSTAT -na in una shell. Il computer della vittima mostrerà le connessioni dall'IP in attacco.
  • le informazioni vengono rubate. Se lo sai, è perché hai trovato le informazioni dove non avrebbe dovuto essere. Prova a diffondere informazioni false, diverse da PC a PC. Se successivamente scopri che il tuo sito web aziendale è stato utilizzato utilizzando passwordAssignedToEmiliosComputer , saprai che è il computer di Emilio a indagare.
  • le configurazioni o le immagini in esecuzione dei PC sono diverse. Puoi controllare il precedente utilizzando REGEDIT, anche se richiede molto tempo, e quest'ultimo eseguendo il task manager.
  • Se qualunque virus implica un lotto dell'attività di rete, forse lo puoi vedere con un analizzatore di rete, o eseguendo una diagnostica sugli interruttori, o ... per lo meno, guardando le loro luci intermittenti (dovevo farlo una o due volte).
  • Numera i PC da 1 a 50. Disconnetti tutti i computer con numeri pari e verifica se i sintomi che hai osservato cessano. In caso contrario, prova a scollegare i computer dispari. Se ora fanno , ti rimangono 25 PC da esaminare. Numera da 1 a 25 e ripeti. Sei rimasto con 12 o 13 PC da esaminare. Quindi 6 o 7. Quindi 3 o 4. Quindi 1 o 2.
risposta data 16.12.2015 - 13:45
fonte
0

Vorrei provare quanto segue:

  • Verifica di proxy, firewall o altri log di navigazione per IP dannosi o domini
  • Verifica dei log DNS per i domini dannosi
  • Uso degli strumenti di ricerca IOC
  • Esecuzione di un analizzatore di rete e quindi ricerca di IP o domini malevoli navigati
  • Esecuzione di un IDS con firme
  • Esegui Process Explorer in ogni macchina e cerca i processi dannosi
  • Recupero degli ultimi comandi eseguiti da ciascuna macchina (file Prefetch di Windows)
  • Recupero dei processi in esecuzione da ogni macchina con un tipo di script (WMI, PowerShell, Psexec ...)

Come fai a sapere di essere infetto? Inizia lì ed esegui analisi forensi.

    
risposta data 16.12.2015 - 13:43
fonte
0

Utilizzerei anche strumenti anti-rootkit. Questi sono in genere strumenti specifici unici e variano nella loro facilità d'uso .

Molte soluzioni AV non cercano i rootkit o non sono in grado. Questo link è un po 'obsoleto ma dovrebbe iniziare: link

In caso contrario, utilizzerei wireshark su qualsiasi macchina in rete e guarderò i dati del pacchetto (destinazione e origine), questo dovrebbe consentire di rintracciare il macchinista.

    
risposta data 16.12.2015 - 15:08
fonte

Leggi altre domande sui tag

Come rimuovere possibili file di virus Autorizzazione twofactor di Gmail su computer non attendibili