Cómo erradicar y recuperar una red comprometida

Navega tus respuestas
5

Tengo una pregunta un tanto amplia relacionada con una amenaza específica y continua que estoy tratando de definir y defender.

En este momento, necesito reconstruir un punto de acceso seguro para que mis dispositivos móviles y computadoras se conecten a Internet. Estaré usando una VPN, sin embargo, me pregunto sobre otras estrategias que hay para defenderme. Actualmente estoy siguiendo NIST: Guía de manejo de incidentes de seguridad informática para obtener un punto de partida para el manejo de incidentes actuales y futuros.

Problema :

Tengo una puerta de enlace de Internet proporcionada por un ISP y que ha sido tomada por un atacante. Creo que el vector de ataque inicial se originó en una memoria USB infectada. Sea lo que sea, ahora afecta completamente a la puerta de enlace, tomando el control del contexto del hardware, los registros y el firewall. Las direcciones MAC de las entradas de Ethernet han cambiado a una extraña (¿genérica?) Y parece que se está adjuntando a los paquetes que entran y salen. La configuración de MAC y de registro no cambiará por mis intentos, incluso con una conexión por cable a la toma administrativa de Ethernet.

El WiFi está emitiendo una nueva señal en tándem con el original y los dispositivos conectados comienzan a emitir paquetes impares con la dirección MAC anterior adjunta, aunque el dispositivo no tiene que estar utilizando Ethernet.

Intentos ::

Dispositivos: Intenté reinstalar el sistema operativo en máquinas que emiten señales extrañas. Las actualizaciones también pueden estar introduciendo nuevo malware y puertas traseras.

Puerta de enlace: los restablecimientos y actualizaciones de fábrica no parecen ayudar.

Situación actual Me siento atacado por el atacante como si cada ataque me pareciera personal a mi profesión. He presentado un informe policial y una queja de IC3, aunque deseo saber si puedo reconstruir de forma segura con un atacante experto y manejado.

Lo que estoy preguntando

¿Cómo crear una compilación segura en la unidad de puerta de enlace del ISP? ¿Debería reemplazarse la unidad o podría haber una manera de actualizar el firmware a los valores de fábrica?

¿Y habría una manera de proteger mis dispositivos de un punto de acceso malicioso?

    
pregunta R Drive 25.06.2018 - 00:54
fuente

1 respuesta

1

He hecho esto a gran escala en una empresa. Lo que hicimos fue crear una red con huecos de aire con una nueva caída de un ISP, y los servidores de AD nos dieron una línea de base estable y razonablemente segura. Luego creamos nuevas VLAN en la red central, donde cambiamos los grupos de usuarios de forma programada, asegurándonos de que cada uno se pusiera en cuarentena / reinicialización y se incorporara a la nueva red. La creación de una nueva infraestructura corporativa no estaba en el presupuesto, por lo que utilizamos las nuevas VLAN en el núcleo.

Para una red doméstica donde el objetivo es construir una nueva red, realizaría un restablecimiento de fábrica en su puerta de enlace, ¿entonces tiene una "máquina limpia"? Lo usaría para restablecer su WiFi con todas las contraseñas nuevas y poner una máquina en línea a la vez. ¿Puede ver un problema cuando una máquina se conecta? Personalmente, suena un poco como el malware VPNFilter, pero eso es solo una suposición.

    
respondido por el Joe M 25.06.2018 - 04:41
fuente

Lea otras preguntas en las etiquetas

¿Puedo redactar convirtiendo PDF a TIFF y viceversa? Análisis cuantitativo de seguridad de repositorios de código abierto como CRAN y NPM