Certificato dirottato e accesso remoto. Computer da ufficio compromesso con un virus?

1

Questo è un desktop di Windows 10.

Questa mattina ho controllato il nostro computer di lavoro e ho notato un sacco di avvisi di sicurezza da un dominio Godaddy spagnolo che tentava di utilizzare l'accesso remoto.

  • Nessun browser aperto quando è stato visualizzato questo avviso di sicurezza.
  • Questo computer non ha diritti di amministratore

NonsonoriuscitoaottenereunoscreenshotdicosasuccedequandofaiclicsuVisualizzacertificato.Hadettoqualcosasulloginremotoeildominio.santillanausa.comchesembraessereunsitodiapprendimentodellalinguaspagnola.

DopoaverapertoiltaskmanagerhonotatounprogrammasospettochiamatoPROGRAMchenecessitavadidirittidiamministratoredachiudereenonpossofareclicsulleproprietà.

Dopo che IT ha disabilitato PROGRAM questo avviso di sicurezza non è arrivato.

Non sono riuscito a ottenere uno screenshot di cosa succede quando fai clic su Visualizza certificato. Ha detto qualcosa sul login remoto e il dominio .santillanausa.com

Sono abbastanza sicuro che hxxp: //santillanausa.com/ non stia tentando di accedere in remoto. La mia ipotesi è che qualcuno abbia rubato il loro certificato. Sarei grato se qualcuno fosse a conoscenza di eventuali exploit come questo.

La mia domanda è

  • È sufficiente disabilitare PROGRAM per non considerare più una minaccia per la sicurezza?
  • Se si tratta di un exploit noto per Windows 10, come si chiama e come funziona?

UPDATE: è stato scansionato con l'antivirus Malwarebytes e dice che non ci sono virus. Questo mi rende molto nervoso perché ovviamente c'è un virus nell'unità.

    
posta ConcernedUser 12.04.2018 - 15:39
fonte

1 risposta

1

Probabilmente questo sembrerà una risposta vaga, ma senza ulteriori analisi del programma / eseguibile sospetto, della sua attività sul sistema, delle catture di pacchetti del traffico di rete sospetto, ecc., questa è la risposta "migliore" che posso inventarsi.

Qualsiasi programma "sconosciuto" in esecuzione su un sistema aziendale di qualsiasi tipo è intrinsecamente un rischio per la sicurezza. Pertanto, l'esistenza del programma può essere considerata di per sé un rischio per la sicurezza. Se il programma è semplicemente "seduto sul computer" senza fare nulla, o se si esegue attivamente e si sta facendo qualcosa, è un'altra questione da prendere in considerazione quando si risponde all'esistenza del programma.

Senza una dissezione e un'analisi più dettagliate, non è possibile dare una risposta definitiva alla prima domanda "Disabilita il programma abbastanza da mitigare il rischio per la sicurezza". Tuttavia, in genere, basta "chiudere" il programma sospetto non è sufficiente per fermare la causa principale del rischio; senza un'analisi più approfondita, tuttavia, dire se questo è sufficiente per disabilitare il rischio per la sicurezza è pura speculazione (e più spesso è più sicuro assumere "No, questo non è abbastanza", dalla mia esperienza).

Tuttavia, questa non è la domanda giusta da porre. La domanda corretta che il team IT (e / o qualsiasi responsabile o gruppo di sicurezza delle informazioni pertinenti) dovrebbe porre è "Come è arrivato questo programma?" Questa domanda è importante perché se è un programma installato da un utente finale che ha i privilegi di amministratore, questa è una cosa. Se si tratta di un programma che è entrato lì senza conoscenza di nessuno , allora hai abbastanza da suggerire che potrebbe esserci stata una violazione da qualche parte - se un utente è andato a un sito che ha sfruttato una vulnerabilità nel sistema specifico o no o se il sistema è stato violato da una fonte esterna o non è ancora da determinare.

Per quanto riguarda la seconda domanda relativa all'utilizzo di un noto vettore di exploit / attacco di Windows 10 per far funzionare questo programma nel proprio ambiente, non possiamo rispondere. Qualsiasi affermazione che dice "sì" o "no" è pura speculazione e non può essere sostenuta da alcuna prova. Tale prova sarebbe acquisita attraverso l'analisi del sistema per determinare qualsiasi traffico di rete sospetto verso / dal sistema, eventuali accessi sospetti remoti, chiamate di sistema sospette, ecc., Di cui possiamo quindi utilizzare i dati trovati in tali indagini per determinare se o non un "problema noto" è stato sfruttato o meno.

Nel complesso, quindi, la cosa migliore che posso dire in risposta alle tue domande è questa:

Disabling the program or service, alone, is probably not enough to mitigate the risk. However, this is not a certain answer, and without more in-depth analysis the best conclusion I can give you is that there is a potential security risk of unknown scope and risk factor on the system in question, of which additional analysis of the program's activity and behavior can help to determine such scope and/or risk factors.

Se I avessi assolutamente di rivolgere raccomandazioni al tuo team IT, allora sarebbero questi, per iniziare:

  • Rimuovi il sistema interessato dalla rete e, se possibile, fornisci una nuova macchina pulita per sostituire il computer interessato.
  • Invia l'eseguibile sospetto a VirusTotal o simile per l'analisi.
  • Analizzare il traffico di rete sui sistemi endpoint interessati o sulla rete in generale per identificare il traffico sospetto e da lì determinare i potenziali vettori di infezione o le violazioni del sistema attraverso cui gli attori della minaccia potrebbero utilizzare per dirottare i sistemi endpoint o -impiantare l'applicazione in altri sistemi.

Ma questi da soli non sono suggerimenti pienamente informati supportati da prove, e sono più suggerimenti "generali" che molti nel campo della sicurezza delle informazioni ti forniranno in risposta a sospette violazioni o infezioni; in ogni caso, è necessaria un'analisi più approfondita e approfondita del sistema interessato e dell'eseguibile / programma sospetto per fornire eventuali raccomandazioni veramente informate .

    
risposta data 12.04.2018 - 22:04
fonte

Leggi altre domande sui tag