¿Qué necesito verificar al analizar una invasión?

El secreto para descubrir cómo fue hackeado por lo general se encuentra en la preparación antes del ataque y no después, configurando todos los sistemas para enviar registros a un servidor de registro central, por ejemplo. Esto se debe a que muchos tipos de paquetes de malware eliminan los registros para cubrir sus huellas y dificultan la recuperación; Si los sistemas envían sus registros a un servidor central, ayuda a conservar el registro. Si no hay un registro centralizado, es posible que no encuentres nada, pero así es como atacaría el problema de todos modos.

El objetivo final debería ser establecer una línea de tiempo, de qué sistemas se piratearon, cómo se piratearon, cómo se propagó la infección y cuánto tiempo transcurrió hasta que se detectó el ataque y se desconectaron los sistemas. Toda la información que reúnas debe ir en esta línea de tiempo. Una vez que la línea de tiempo está completa, puede utilizarla para reconstruir la secuencia de eventos y el impacto probable.

Si su oficina está en una línea ADSL, es poco probable que tenga servidores externos, lo más probable es que todas las conexiones se originen desde el interior de la red. Esto significa que es poco probable que alguien haya penetrado en su red desde el exterior, lo más probable es que alguien haya sido infectado abriendo un archivo de malware enviado en un correo electrónico (probablemente un PDF), o siendo engañado para que navegue a un sitio pirateado. También es posible que alguien haya introducido el malware en una memoria USB u otro tipo de medios extraíbles. Los enrutadores ADSL generalmente son deficientes en el registro (si están configurados para hacerlo), así que primero me concentraría en los registros de antivirus y ventanas y utilizaría cualquier registro de enrutador disponible para complementar.

Si tiene un servidor central de AD, un servidor AV y similares, el trabajo será más fácil. Si no vas a tener que mirar las máquinas individuales afectadas. No mencionó cuántos sistemas han sido pirateados, por lo que esto puede ser fácil o difícil, dependiendo de la magnitud del problema. Comenzaría con los registros de AV, esperando que el AV detectara el malware pero no protegiera los sistemas. Si no encuentra nada, mire los registros del sistema. Esté atento al inicio de java o adobe reader, así como a bloqueos / reinicios inesperados. Eventos como ese apuntan a infecciones exitosas.

Una vez que haya determinado qué sistemas se vieron afectados y luego puede consultar los registros de su enrutador ADSL (siempre que tenga alguno) y ver qué hicieron los sistemas infectados antes y después de la infección. El antes ayudará a determinar cómo se infectó el sistema (descargando un correo electrónico, yendo a un sitio web específico), y el posterior podría aclarar qué era el malware (es decir, a qué sistemas de control y control estaba conectado) y qué hizo. . Es poco probable que pueda determinar exactamente qué información se perdió, pero al menos sabiendo que el software malicioso fue infectado, durante cuánto tiempo se infectaron los sistemas y cuánta información se transfirió, puede tener una idea del impacto.

Debido a que su organización parece pequeña, intente crear imágenes de todos los escritorios para que usted (o alguien más) pueda investigar los registros y los sistemas de archivos en busca de cualquier cosa de valor fuera de línea. De esta manera, puede retener datos forenses en cada máquina y hacer que sus usuarios vuelvan a funcionar rápidamente.

También tomaría todos los registros disponibles de los conmutadores y del enrutador ADSL, así como todos los registros del servidor y antivirus, cortafuegos u otros software / dispositivos relacionados con la seguridad.

En cuanto a todos los demás problemas de 'Respuesta a incidentes', hay muchas, muchas cosas que puede hacer para evitar nuevas infracciones y tener sistemas para proporcionar mucha más información si el problema vuelve a ocurrir. Pero eso parece fuera del alcance de su pregunta.

  

en su mayoría WinXP o Siete). Todas las PC conectadas a la red básica hub-switch y la red están conectadas a Internet a través de ADSL Router. Probablemente no hay registro

Más bien implica una organización muy pequeña / un presupuesto de TI muy pequeño.

  

información confidencial, como datos de cuentas bancarias, contraseñas, información personal

... sugiere un ataque objetivo bastante sofisticado.

Estos 2 hechos realmente no cuentan.

  

Un gerente de la compañía declaró que

No voy a preguntarle cómo obtuvo esa información, pero usted debería.

Dejando esto de lado por ahora, si su función es garantizar la seguridad de los sistemas, eso también significa garantizar su disponibilidad. Dada la escala de la operación, tal vez no sea la mejor táctica retener los sistemas para recopilar pruebas en lugar de volver a ponerlos en servicio. ¿Qué esperas lograr? Es probable que simplemente no sea práctico perseguir una investigación más allá de las paredes de la oficina.

Además, pasar mucho tiempo tratando de investigar cómo el "invasor" ingresó a la red solo debería mejorar su conocimiento de cómo evitar que vuelva a ocurrir el mismo ataque (los atacantes solo necesitan encontrar una única vulnerabilidad, pero defender) una red que necesita para eliminar todas las vulnerabilidades.

Habiendo dicho eso, es bastante sencillo copiar los registros de eventos (NB comprueba los archivos .evtx y también los. evt) en otro lugar antes de limpiar / reinstalar.