Questa evidenza sembra coerente con un'intrusione tramite il server VNC?

0

Sono nuovo in questo forum, quindi scuse in anticipo se questa domanda non sembra rientrare nel suo ambito o se sembra troppo lunga:

In due occasioni nelle ultime 3 settimane circa, un hacker ha ottenuto l'accesso remoto al mio laptop (PC con Windows 10), come evidenziato dal movimento del cursore del mouse. In entrambe le occasioni, ero collegato alla rete WiFi della mia università e spegnevo rapidamente il computer non appena ho visto cosa stava succedendo.

Nella prima occasione, stavo negando, supponendo che il movimento del cursore fosse dovuto a un malfunzionamento del touchpad. La seconda volta, il movimento del cursore appariva molto deciso e umano; Sono sicuro che il mio computer sia stato accesso da remoto.

Da allora, ho usato questo laptop solo offline. Mi sto preparando a fare un'installazione pulita del sistema operativo. Prima di quel punto, tuttavia, sto cercando di trovare prove che confermino il mio primo sospetto che il mio computer sia stato acceduto tramite il server RealVNC su cui ho eseguito l'esecuzione. Ciò presuppone che qualcuno sia stato in grado di identificare la mia password attraverso la forza bruta.

La cosa imbarazzante è che mi manca la prova che questo era il mezzo di accesso. Di solito, le connessioni del server VNC dovrebbero richiedere una notifica sullo schermo, che non ho mai visto. Inoltre, non riesco a trovare prove delle connessioni VNC se cerco nel registro eventi le date / orari in cui ho notato il movimento del cursore. Quindi, ora mi chiedo se (a) l'hacker abbia soppresso la registrazione / notifica, o (b) il mio laptop sia stato acceduto in qualche altro modo.

Ci sono altre tre informazioni che potrebbero essere utili:

(1) Se guardo nel registro eventi alla data / ora del primo incidente, posso trovare un accesso di tipo 3, con ID di sicurezza "ANONYMOUS LOGIN", ID di sicurezza "NULL SID", un processo di accesso di "NtLmSsp" e spazi vuoti o 0 in tutti i campi che forniscono informazioni sull'origine (nessun nome Workstation, nessun indirizzo IP, ecc.). Questo è coerente con un login VNC basato sul web o qualcos'altro?

(2) In entrambi i casi ho notato il movimento del cursore mentre stavo usando Chrome. Forse solo una coincidenza.

(3) Ho eseguito scansioni complete con Symantec e MalwareBytes; nessuno dei due ha rilevato nulla.

Sembra che comprendere la causa di questi incidenti sarà importante per impedire che si ripetano. Come detto sopra, ho intenzione di reinstallare il sistema operativo, e dal momento che non ho necessità future per VNC Server, non lo reinstallerò. Ho anche cambiato le password rilevanti. Ma non sono sicuro che sarà sufficiente.

Grazie in anticipo per il tuo tempo.

    
posta kc32768 11.08.2018 - 08:46
fonte

1 risposta

0

Sembra che qualcuno stia cercando di rinforzare le credenziali di Windows, come suggerisce l'evento NtlmSsp. Non penso che questo sia collegato a VNCServer, a meno che non lo hai configurato per accedere con le credenziali di Windows.

Prima di ogni altra cosa, dato che non sappiamo se sei stato RAT o no, dovresti monitorare qualsiasi connessione Internet fatta sul tuo computer (senza connettività). Poiché stai usando Windows, questo può essere fatto usando netstat (CLI) o SysInternal's TCPView (GUI). Verifica la presenza di qualsiasi connessione su una porta insolita creata da qualsiasi processo, poiché uno strumento può essere facilmente iniettato, ad es. explorer.exe. Se si sospettano connessioni indesiderate, provare a rimuovere l'infezione da soli, utilizzando Malwarebytes o, come soluzione alternativa, Autoruns di SysInternal. Non utilizzare Symantec Norton Antivirus poiché non è molto efficiente e buggato.

Se non c'è niente, quello che farò dopo, prima di reinstallare Windows, è quello di connettersi al WiFi della tua università, disabilitare VNC e controllare altri eventi come quello che hai descritto.

Per fare ciò, lancia uno strumento di monitoraggio come IDS Cyberarms (gratuito e open source) per verificare qualsiasi tentativo di intrusione. Quindi ti mostrerà l'indirizzo IP e potrai segnalarlo all'amministratore di rete della tua università e bloccarlo usando l'IDDS o il tuo FireWall.

    
risposta data 11.08.2018 - 18:39
fonte

Leggi altre domande sui tag