Come tracciare la posizione in cui si verifica il MITM?

2

Il mio computer è stato bersaglio di un attacco Man-in-the-Middle. Quando utilizzo lo stesso sito per più di 5-10 minuti, occasionalmente quel sito Web viene sostituito da un sito Web compromesso per un paio d'ore. Poiché utilizzo HTTPS, rilevo immediatamente l'attacco, poiché il certificato è improvvisamente autofirmato-- e evito di inviare dati sensibili; tuttavia, ultimamente gli attacchi sono diventati più sofisticati. Inoltre, devo essere in grado di continuare il mio lavoro. Devo essere in grado di connettermi al sito originale in qualche modo.

Una cosa strana è che questo attacco è specifico del browser. Ad esempio, quando eBay.com è stato compromesso su Firefox, continua a funzionare su Opera. Tuttavia, dopo 5 minuti di lavoro su Opera, è compromesso anche lì; ma passare a IE mi consente di continuare a lavorare per altri 15-20 minuti. Non è mai compromesso quando sto accedendo tramite linea di comando (presumibilmente per impedirmi di utilizzare strumenti come tracert).

Sono stato in grado di ottenere la password del mio amministratore di sistema, e ammetto che è solo una password moderatamente strong; e, il router consente il controllo remoto; così probabilmente, il router è stato violato. Posso cambiare la password del router; ma prima, vorrei confermare da dove viene l'attacco. Perché se non lo faccio, e l'aggressore rileva i miei tentativi di ostacolarlo, allora può fermarsi per un po ', per farmi pensare che ho trovato da dove proviene il problema, quando in realtà no.

    
posta Alex 03.01.2018 - 02:58
fonte

2 risposte

1

Prima di inserire qualsiasi tipo di password, è necessario un sistema sicuro per diagnosticare in sicurezza ciò che sta accadendo. Se hai un'altra macchina o un Live DVD o un'unità USB di una distribuzione Linux come Linux Mint o Ubuntu per avviarti sul tuo sistema attuale, o un altro sistema sulla stessa rete inizia da lì.

Questo ti aiuterà a determinare se hai qualche tipo di malware o backdoor nel sistema su cui stavi vivendo. Se si è in grado di utilizzare un altro sistema pulito / sicuro noto e nessuno dei sintomi si verifica, si sa che il computer è interessato localmente dal sistema operativo in esecuzione. Se, d'altra parte, qualsiasi sistema della tua rete viene reindirizzato, allora sì, è possibile che anche il tuo router sia compromesso.

Quali sono i dettagli del sistema che stai utilizzando? Si trova su un dominio con un server Windows?

    
risposta data 03.01.2018 - 05:12
fonte
1

Questo suona notevolmente (esattamente) come un problema che ho dovuto affrontare alcuni mesi fa su una macchina. Se è lo stesso, allora non è un attacco MITM. Si trattava di malware locale, che infettava lo stack di rete di Windows, reindirizzando i browser su un altro sito web - un facsimile generato automaticamente dell'originale, appartenente al proprietario del malware.

Il motivo per cui non influenza la riga di comando è perché non può, il reindirizzamento avviene a un livello più alto. Inoltre non influenzerebbe UDP o altre app di rete. Sfortunatamente non ho trovato un modo semplice per rimuovere il malware in modo non distruttivo e ho finito con il re-imaging della macchina.

P.S. A meno che qualcuno stia morendo ed è la tua linea di EMT, non provare mai a lavorare su una macchina infetta! Una volta che si sospetta un'infezione, basta: tagliala, avvia da un supporto esterno, sposta dati sensibili e preziosi, quindi procedi a trovare e rimuovere il malware.

    
risposta data 04.03.2018 - 12:33
fonte

Leggi altre domande sui tag