El equipo de infosec de mi universidad me notificó que una ransomware infectó una de las computadoras de mi laboratorio. Cierran las conexiones de red de la computadora usando Crowdstrike e insisten en que se debe volver a crear la imagen del disco duro.
La computadora se acaba de poner en la red el viernes, ejecuta Windows 7 Professional, Service Pack 1. Ni siquiera tuvo tiempo de actualizar Windows antes de que se bloqueara la conexión de red el lunes por la mañana.
La computadora se ha comportado como se esperaba. No se ha observado ningún comportamiento errático.
Infosec citó el archivo lsass.exe
de la computadora como una preocupación (SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2)
Afirmaron que este archivo lsass.exe está "asociado" con mssecsvc.exe__
(SHA256: 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0)
La búsqueda en el disco duro de la computadora muestra que hay un archivo lsass.exe
.
No hay un archivo mssecsvc
.
Los análisis completos con el antivirus Norton muestran 0 amenazas (ni siquiera una cookie de seguimiento)
La computadora no se utiliza expresamente para la navegación web o el correo electrónico. La conexión de red solo existe para proporcionar acceso a los archivos de la red local.
Volver a crear imágenes de la computadora es excesivamente costoso, ya que hacerlo requiere una recalibración completa del equipo de laboratorio adjunto. Estoy convencido de que esto fue un falso positivo.
Mi pregunta es: ¿Estoy en lo correcto? ¿Esta computadora está infectada? En segundo lugar: ¿Cómo puedo convencer a un profesional de infosec de que están equivocados acerca de que un archivo es malware?
Gracias de antemano!
Edite para obtener información adicional solicitada:
Se compartió una captura de pantalla del siguiente mensaje de Crowdstrike:
lsass.exe
ASSOCIATED BEHAVIOR: High Severity Intel Detection
A hash matched a CrowdStrike Intelligence indicator that has previously been used in targeted attacks.
Associated IOC (SHA256 on file write): 74d72f5f488bd3c2e28322c8997d44ac61ee3ccc49b7c42220472633af95c0c0
FILE PATH: \Device\HarddiskVolume2\Windows\System32\lsass.exe
SHA256: 620638756a5ee6ea933a7a4c94e7dd2537e2a7345bbeff72d28271c0174d10a2
COMMAND LINE: C:\Windows\system32\lsass.exe
USER NAME: [redacted]
START / END TIME: Feb 5., 2018 08:33:03
El siguiente enlace fue compartido: enlace