Entonces, realmente hay dos lados en esta pregunta.
1. Qué puedo hacer ahora. Soy hackeado.
a. Puede ver los registros de su sistema. En lugar de tratar de analizar los registros de differnet en su sistema, podría ser más fácil usar una herramienta de línea de tiempo como log2timeline. Esto reunirá todos los artefactos de evidencia de la línea de tiempo y los colocará en un archivo .csv fácil de leer. La información de la línea de tiempo es en realidad todas las fuentes de registro disponibles en un solo lugar. Esto realmente puede ayudarlo a determinar varios indicadores de compromiso y ayudarlo a encontrar dónde necesita dedicar algo de tiempo a investigar su sistema.
b. Realmente necesitas capturar una instantánea de tu memoria tan pronto como puedas. Es muy posible que todavía haya restos de malware en su sistema o información de red almacenada en caché sobre el atacante. Hay varias herramientas de adquisición de memoria disponibles, como MoonSols DumpIt. Una vez que tenga una copia de su memoria, deberá analizarla y podrá utilizar una herramienta como Mandiant Redline (también gratuita).
c. Si realmente está interesado en encontrar lo que se tomó en su sistema, debería tomar una imagen forense de su disco duro y trabajar fuera de la imagen, por el bien de la responsabilidad. Hay algunas herramientas gratuitas de imágenes HDD, como FTK Imager. Una vez que tenga una instantánea de su HDD, puede ejecutarla a través de un kit de herramientas de adquisición forense como Autopsy Forensic Suite. Luego puede ejecutar los archivos contra una lista de hash de archivos incorrecta, que alertará sobre archivos maliciosos en su PC basándose en los hashes tomados del malware en el pasado. Puede cargar las listas hash en su herramienta de adquisición forense y ejecutarlas en su sistema de archivos. Puede encontrar listas de hash gratuitas y actualizadas en la NSRL (Biblioteca Nacional de Referencia de Software).
2. Cómo evitar la piratería en el futuro.
a. Es una buena idea usar la herramienta de recopilación y análisis de registros en su PC, un agente de HIDS. OSSEC es un agente de HIDS de código abierto que funciona muy bien. Reúne registros de su PC y también supervisa los archivos críticos del sistema y las entradas de registro.
b. Es una buena idea emplear un sistema NIDS. Esto observará señales de compromiso sobre el cable. Herramientas tales como suricata proporcionan excelentes capacidades de monitoreo. Echa un vistazo a SecurityOnion. Es una distro de linux repleta de herramientas como suricata. Hace que configurar un sistema NIDS sea muy fácil.
c. Realmente necesitas estar al tanto de los parches. Emplear una herramienta de evaluación de vulnerabilidades como OpenVAS (código abierto). Esto le ayudará a mantenerse al tanto de las vulnerabilidades en su red.
d. Tenga un plan sólido de respuesta a incidentes! Esto es tan importante.
e. Siga los 20 controles de seguridad más importantes de SANS.