¿Cómo rastrear la ubicación donde está ocurriendo MITM?

2

Mi computadora ha sido objetivo de un ataque Man-in-the-Middle. Cuando uso el mismo sitio durante más de 5-10 minutos, ocasionalmente ese sitio web es reemplazado por un sitio web comprometido durante un par de horas. Ya que estoy usando HTTPS, detecto el ataque de inmediato, ya que el certificado es de repente autofirmado, y evito enviar datos confidenciales; Sin embargo, los ataques se han vuelto más sofisticados últimamente. Además, necesito poder continuar con mi trabajo ... Necesito poder conectarme al sitio web original de alguna manera.

Una cosa extraña es que este ataque es específico del navegador. Por ejemplo, cuando eBay.com se ha comprometido en Firefox, continúa trabajando en Opera. Sin embargo, después de 5 minutos de trabajar en Opera, también se compromete allí; pero el cambio a IE me permite continuar trabajando durante otros 15-20 minutos. Nunca se compromete cuando estoy accediendo a él a través de la línea de comandos (probablemente para evitar que use herramientas como Tracert).

He podido obtener la contraseña del administrador de mi sistema, y debo admitir que solo es una contraseña moderadamente segura; y, el enrutador permite el control remoto; Posiblemente, el enrutador ha sido hackeado. Puedo cambiar la contraseña del router; pero primero, me gustaría confirmar de dónde viene el ataque. Porque si no lo hago, y el atacante detecta mis intentos de frustrarlo, entonces puede detenerse por un tiempo, para hacerme pensar que he descubierto de dónde viene el problema, cuando en realidad no lo he hecho.

    
pregunta Alex 03.01.2018 - 02:58
fuente

2 respuestas

1

Antes de ingresar cualquier tipo de contraseña, necesita un sistema seguro para diagnosticar con seguridad lo que está sucediendo. Si tiene otra máquina o un Live DVD o unidad USB de una distribución de Linux como Linux Mint o Ubuntu para iniciar su sistema actual, u otro sistema en la misma red comience allí.

Esto ayudará a determinar si tiene algún tipo de malware o puerta trasera en el sistema en el que estaba experimentando esto. Si puede usar otro sistema limpio / seguro conocido y no se presenta ninguno de los síntomas, entonces sabe que su computadora se ve afectada localmente en el sistema operativo que se ejecuta. Si, por otro lado, cualquier sistema en su red se redirecciona, entonces sí, es posible que su enrutador también se vea comprometido.

¿Cuáles son los detalles del sistema que está utilizando? ¿Está en un dominio con un servidor de Windows?

    
respondido por el InfoSec Engineer 03.01.2018 - 05:12
fuente
1

Esto suena notablemente (exactamente) como un problema con el que he tenido que lidiar unos meses atrás en una máquina. Si es el mismo, entonces no es un ataque MITM. Se trataba de malware local, que infectaba la pila de la red de Windows, redirigía los navegadores a un sitio web diferente: un fax generado automáticamente por el original, que pertenece al propietario del malware.

La razón por la que no afecta a la línea de comando es porque no puede, la redirección ocurre a un nivel superior. Tampoco afectaría a UDP u otras aplicaciones de red. Desafortunadamente, no encontré una manera fácil de eliminar el malware de forma no destructiva y terminé simplemente creando una nueva imagen de la máquina.

P.S. A menos que alguien se esté muriendo y sea su línea a los EMT, ¡nunca intente trabajar en una máquina infectada! Una vez que sospeche una infección, ya está: córtela, arranque desde medios externos, mueva datos confidenciales y valiosos, luego proceda a encontrar y eliminar el malware.

    
respondido por el Therac 04.03.2018 - 12:33
fuente

Lea otras preguntas en las etiquetas