Es bien sabido qué medidas se deben tomar para evitar que los piratas informáticos pirateen su PC. Pero, ¿existen pasos que permitan a un usuario evaluar el daño causado por un pirata informático?
Di que estoy seguro de que alguien me hackeó ayer. Pero no tengo idea de lo que hicieron cuando estaban en mi PC. ¿Hay alguna forma de saber qué archivos tomaron (si los hay) o qué explotar usó el atacante para obtener acceso?
Entonces, realmente hay dos lados en esta pregunta.
1. Qué puedo hacer ahora. Soy hackeado.
a. Puede ver los registros de su sistema. En lugar de tratar de analizar los registros de differnet en su sistema, podría ser más fácil usar una herramienta de línea de tiempo como log2timeline. Esto reunirá todos los artefactos de evidencia de la línea de tiempo y los colocará en un archivo .csv fácil de leer. La información de la línea de tiempo es en realidad todas las fuentes de registro disponibles en un solo lugar. Esto realmente puede ayudarlo a determinar varios indicadores de compromiso y ayudarlo a encontrar dónde necesita dedicar algo de tiempo a investigar su sistema.
b. Realmente necesitas capturar una instantánea de tu memoria tan pronto como puedas. Es muy posible que todavía haya restos de malware en su sistema o información de red almacenada en caché sobre el atacante. Hay varias herramientas de adquisición de memoria disponibles, como MoonSols DumpIt. Una vez que tenga una copia de su memoria, deberá analizarla y podrá utilizar una herramienta como Mandiant Redline (también gratuita).
c. Si realmente está interesado en encontrar lo que se tomó en su sistema, debería tomar una imagen forense de su disco duro y trabajar fuera de la imagen, por el bien de la responsabilidad. Hay algunas herramientas gratuitas de imágenes HDD, como FTK Imager. Una vez que tenga una instantánea de su HDD, puede ejecutarla a través de un kit de herramientas de adquisición forense como Autopsy Forensic Suite. Luego puede ejecutar los archivos contra una lista de hash de archivos incorrecta, que alertará sobre archivos maliciosos en su PC basándose en los hashes tomados del malware en el pasado. Puede cargar las listas hash en su herramienta de adquisición forense y ejecutarlas en su sistema de archivos. Puede encontrar listas de hash gratuitas y actualizadas en la NSRL (Biblioteca Nacional de Referencia de Software).
2. Cómo evitar la piratería en el futuro.
a. Es una buena idea usar la herramienta de recopilación y análisis de registros en su PC, un agente de HIDS. OSSEC es un agente de HIDS de código abierto que funciona muy bien. Reúne registros de su PC y también supervisa los archivos críticos del sistema y las entradas de registro.
b. Es una buena idea emplear un sistema NIDS. Esto observará señales de compromiso sobre el cable. Herramientas tales como suricata proporcionan excelentes capacidades de monitoreo. Echa un vistazo a SecurityOnion. Es una distro de linux repleta de herramientas como suricata. Hace que configurar un sistema NIDS sea muy fácil.
c. Realmente necesitas estar al tanto de los parches. Emplear una herramienta de evaluación de vulnerabilidades como OpenVAS (código abierto). Esto le ayudará a mantenerse al tanto de las vulnerabilidades en su red.
d. Tenga un plan sólido de respuesta a incidentes! Esto es tan importante.
e. Siga los 20 controles de seguridad más importantes de SANS.
La respuesta depende en gran medida de lo que esté ejecutando (por ejemplo, una PC personal frente al servidor de una gran empresa, sistema (s) operativo (s) en uso). Mi primer paso sería llegar a los profesionales en esta área. Si tiene acceso a un equipo de seguridad informática / departamento de TI (por ejemplo, dentro de una empresa), los consultaría de inmediato. Si tiene su sede en EE. UU., Probablemente pueda hacer uso de los recursos disponibles en el Equipo de preparación para emergencias informáticas: enlace A nivel mundial, puede encontrar un equipo que puede ayudarlo aquí: enlace
Si esta es su PC personal y no puede comunicarse con otro profesional de seguridad informática, desconectaría la computadora de Internet para evitar daños (si es posible), luego busque en los archivos de registro para ver cuáles son los el hacker lo hizo La forma de hacerlo varía según el sistema operativo que esté ejecutando. Existen herramientas que facilitan la revisión del archivo de registro (incluido Splunk). Si está ejecutando un servidor Linux, esta pregunta también puede ser útil para los forenses: ¿Cómo sabes que tu servidor ha sido comprometido? Otra buena pregunta similar es: Análisis forense después del compromiso del servidor web
Es posible que pueda encontrar otras buenas herramientas de revisión de archivos de registro en esta pregunta que acabo de preguntar: enlace
Lea otras preguntas en las etiquetas forensics incident-response