Powershell se abrió, cambió al modo administrador y ejecutó todos los scripts sin que yo tocara mi computadora. ¿Qué tan preocupado debería estar?

3

Estoy en una computadora portátil con Windows 8.1 conectada a Internet con Kaspersky. Soy el único usuario y administrador de este portátil. Mientras realizaba mi trabajo habitual, me detuve por un momento (sin tocar el teclado y el mouse), momento en el que una ventana de PowerShell se abrió por completo y comenzó a parpadear. Con cada flash, la ventana cambió entre el modo Administrador y el modo normal hasta después de unos tres segundos y se mantuvo estable en el modo Administrador. Se detuvo por alrededor de otro medio segundo y luego corrió algo tan rápido que no pude ver lo que era y luego una segunda ventana de PowerShell se abrió frente a ella y corrió otra cosa, pero esta vez toda la salida fue en texto rojo. He intentado buscar en Google y descubrir qué pudo haber causado esto, pero no he podido encontrar nada de valor, así que espero que alguien en esta comunidad tenga conocimiento de lo que es esto, sea o no Debería preocuparme y qué debo hacer al respecto.

En resumen: Powershell se abrió solo en Windows 8.1, cambió al modo Administrador y ejecutó dos scripts sin que yo tocara nada. ¿Debo estar preocupado o aterrorizado?

    
pregunta Maxwell's Demon 19.12.2014 - 02:41
fuente

2 respuestas

6

Aunque recomiendo seguir la sugerencia de ekaj y rastrear sus registros para estar seguro, me parece muy sospechoso.

Si ha permitido actualizaciones automáticas, es posible que esto formara parte de un script de actualización ... pero, por lo general, las actualizaciones presentan información del usuario bastante formalizada.

La apuesta más segura es asumir lo peor, y borrarla y reconstruirla. Un Powershell ejecutándose como administrador podría haber hecho cualquier cosa.

Tenemos una serie de preguntas aquí sobre qué hacer una vez que una máquina se haya visto comprometida ... la respuesta canónica es, sin embargo, hacer una limpieza completa y reconstruir desde una copia de seguridad limpia conocida o desde un medio de instalación. / p>     

respondido por el Rory Alsop 20.12.2014 - 13:14
fuente
2

Sé que llego muy tarde a esta fiesta, pero me surgió esta pregunta mientras buscaba en la Sec.SE en relación con otra situación con la que estoy lidiando en el trabajo. También creo que podría proporcionar algo útil que no había sido mencionado todavía. Aunque estoy de acuerdo con Rory Alsop, también me gustaría agregar algo que respalde su respuesta y te dé otro consejo además de limpiar tu computadora; lo cual te recomiendo totalmente que hagas (espero que ya hayas HECHO esto). Por último, esto es para cualquier otra persona que se encuentre con esta pregunta y pueda obtener una visión global de nuestras respuestas.

A mi respuesta ... (y esto solo se agrega a la respuesta original aceptada; siempre revise los registros primero y realice una investigación)

Para mí, me preocuparía tanto que lo que se estaba ejecutando pudiera elevarse a Admin en PowerShell. Esto podría (no es definitivo) indicar que lo que se estaba ejecutando tomó sus credenciales ya sea de las credenciales almacenadas en caché que Windows almacena en el disco local, o de algún keylogger que puede haber permanecido oculto, y luego las usó para elevarse y ejecutar un innumerables cosas Hay varias maneras en que su contraseña de administrador (y otras contraseñas) podrían haberse comprometido si de hecho eso sucedió. Eso me lleva por el camino de ser paranoico y asumir lo peor como ya se ha dicho, lo que significa que sus contraseñas fueron robadas (digamos WERE STOLEN para el contexto de esta respuesta) y ahora tiene eso como un problema. Aquí hay dos cosas que hacer, además de limpiar su computadora y comenzar desde cero.

  1. Cambie su (s) contraseña (s) utilizada (s) en esta computadora sin importar para qué fueron. Nunca se sabe qué fue lo que se comprometió si un keylogger o software malicioso aparecía en su sistema sin que lo supiera.
  2. Cree una cuenta de usuario regular que use para el uso diario y una cuenta de usuario administrativo que solo use cuando algo deba ejecutarse con permiso de una cuenta elevada; active UAC (Control de cuentas de usuario) para reforzar esta táctica y ejecutar cosas como administrador cuando sea necesario. De esa manera, si su cuenta normal se ve comprometida, la cuenta de administrador no se verá comprometida automáticamente y los piratas informáticos tendrán más dificultades para intentar realizar un ataque exitoso.
  3. Use una máquina virtual: cree una máquina virtual en la que realice trabajos confidenciales de tipo privilegiado de administrador. Todavía use la táctica n. ° 2 de arriba cuando use esta máquina virtual e inicie sesión con un usuario regular y solo use las credenciales de administrador según sea necesario usando "Ejecutar como administrador". Si la VM está comprometida, simplemente elimínela y cree una nueva desde cero. Si bien el escape de VM (el acto de escapar de la VM de nuevo al equipo host) no es imposible, es mucho más difícil de lo que la mayoría de la gente cree. Utilice las diversas herramientas de instantáneas integradas en la mayoría de los hipervisores de hoy en día para hacer que esta táctica sea realmente eficiente, de modo que no tendrá que borrar su máquina principal cada vez que suceda algo así.
respondido por el Brad Bouchard 04.01.2016 - 22:59
fuente

Lea otras preguntas en las etiquetas