Cómo probar un falso positivo

3

El equipo de infosec de mi universidad me notificó que una ransomware infectó una de las computadoras de mi laboratorio. Cierran las conexiones de red de la computadora usando Crowdstrike e insisten en que se debe volver a crear la imagen del disco duro.

La computadora se acaba de poner en la red el viernes, ejecuta Windows 7 Professional, Service Pack 1. Ni siquiera tuvo tiempo de actualizar Windows antes de que se bloqueara la conexión de red el lunes por la mañana.

La computadora se ha comportado como se esperaba. No se ha observado ningún comportamiento errático.

Infosec citó el archivo lsass.exe de la computadora como una preocupación (SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2) Afirmaron que este archivo lsass.exe está "asociado" con mssecsvc.exe__ (SHA256: 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0)

La búsqueda en el disco duro de la computadora muestra que hay un archivo lsass.exe . No hay un archivo mssecsvc . Los análisis completos con el antivirus Norton muestran 0 amenazas (ni siquiera una cookie de seguimiento) La computadora no se utiliza expresamente para la navegación web o el correo electrónico. La conexión de red solo existe para proporcionar acceso a los archivos de la red local.

Volver a crear imágenes de la computadora es excesivamente costoso, ya que hacerlo requiere una recalibración completa del equipo de laboratorio adjunto. Estoy convencido de que esto fue un falso positivo.

Mi pregunta es: ¿Estoy en lo correcto? ¿Esta computadora está infectada? En segundo lugar: ¿Cómo puedo convencer a un profesional de infosec de que están equivocados acerca de que un archivo es malware?

Gracias de antemano!

Edite para obtener información adicional solicitada:

Se compartió una captura de pantalla del siguiente mensaje de Crowdstrike:

lsass.exe
ASSOCIATED BEHAVIOR: High Severity Intel Detection
A hash matched a CrowdStrike Intelligence indicator that has previously been used in targeted attacks.
Associated IOC (SHA256 on file write): 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0
FILE PATH: \Device\HarddiskVolume2\Windows\System32\lsass.exe
SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2
COMMAND LINE: C:\Windows\system32\lsass.exe
USER NAME: [redacted]
START / END TIME: Feb 5., 2018 08:33:03

El siguiente enlace fue compartido: enlace

    
pregunta matt2103 06.02.2018 - 21:51
fuente

3 respuestas

3

En realidad, hay algunas banderas rojas que se destacan aquí.

  

La computadora se acaba de poner en la red el viernes, ejecuta Windows 7 Professional, Service Pack 1. Ni siquiera tuvo tiempo de actualizar Windows antes de que se bloqueara la conexión de red el lunes por la mañana.

Lecturas: ha conectado una computadora que ejecuta una versión no actualizada y sin parches de Windows a una red universitaria. No tiene sistema inmunológico y simplemente lo expusiste a los agentes patógenos que flotan en la red, y dado que es una universidad, habrá muchos.

  

La computadora se ha comportado como se esperaba. No se ha observado ningún comportamiento errático.

Lecturas: el ransomware está haciendo su trabajo tal como está diseñado. No se supone que note nada errático.

  

Infosec citado archivo lsass.exe del ordenador como una preocupación (SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2) Indicaron que este archivo lsass.exe es "asociados" con mssecsvc.exe__ (SHA256: 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0)

     

La búsqueda en el disco duro de la computadora muestra que hay un archivo lsass.exe. No hay ningún archivo mssecsvc.

El malware puede ser de naturaleza dinámica. El hecho de que un lsass.exe comprometido aprovechara mssecsvc en los casos que conocemos no significa que no esté abusando de otro ejecutable en su caso.

Obviamente tienes lsass.exe en tu caja; Todas las computadoras con Windows lo hacen. Te están diciendo que eres pwned porque tu hash lsass coincide con el de las versiones comprometidas conocidas. ¿Has copiado tu copia para verificar o rechazar su reclamo?

  

Las exploraciones completas con Norton antivirus muestran 0 amenazas (ni siquiera una cookie de seguimiento)

Lecturas: su AV local posiblemente esté comprometido.

  

La computadora no se utiliza expresamente para la navegación web o el correo electrónico. La conexión de red solo existe para proporcionar acceso a los archivos de la red local.

Un lote de ransomware usa explícitamente los recursos compartidos de la red local para propagarse una vez que se abre camino en su red. Eso no es un sustituto de la protección.

Lamentablemente, esto puede no ser un falso positivo. Entiendo lo que está en juego, pero trato de trabajar con ellos para remediar esta situación. Incluso si estás en lo correcto, es probable que vieran que tenías una versión de lsass no parcheada y explotable en tu máquina basada en el hash, que se ha aprovechado anteriormente en otros ataques. Es posible que veas si estarían dispuestos a brindarte acceso a DMZ por Internet para que puedas realizar la actualización, actualizar tus firmas de AV y ver si volverían a evaluar tu máquina.

    
respondido por el Ivan 06.02.2018 - 23:00
fuente
2

LSASS es un servicio de subsistema de autoridad de seguridad local que forma parte de Windows y está diseñado por malware para extraer las credenciales de los usuarios de la memoria. Así que sí, LSASS es un archivo legítimo normalmente.

Ahora el punto de dolor, escucha a tu equipo de infosec. Si este es un ransomware, puede haber intentado acceder a LSASS para extraer la credencial para que pueda moverse lateralmente en su red. No poder encontrar un archivo en el disco no significa que no esté allí.

El AV local no lo detecta. ¿Están sus firmas de AV actualizadas? Si solo acaba de conectar la caja a la red lo más probable es que no. La máquina no parcheada en la red también como recurso compartido de red, suena como un exploit SMB se ha utilizado para infectar su máquina.

Escuche a su equipo de infosec: están en una mejor posición que usted para hacer la llamada.

    
respondido por el McMatty 06.02.2018 - 23:07
fuente
-1

Estoy de acuerdo con la respuesta de Ivan, y solo quería agregar información desde otro ángulo.

Actualmente no se conoce ninguna colisión de SHA256. Las personas criptográficas han estado tratando de encontrar una por un tiempo y han fallado.

Para que esto sea un falso positivo, debe creer que el hash SHA256 de un componente malicioso solo sucede, en pura coincidencia, para coincidir con el SHA256 de un componente en su sistema operativo, y que logró hacer lo que hizo accidentalmente. toda la comunidad criptográfica no ha podido hacerlo.

    
respondido por el Kevin 06.02.2018 - 23:24
fuente

Lea otras preguntas en las etiquetas