Nuestro proveedor de seguridad detectó que el servidor CAS de nuestro cliente estaba realizando un análisis de nessus en la red interna.
Este proveedor no es infrecuente para emitir un falso positivo, pero estoy buscando una guía general sobre cómo debería analizar este servidor basado en Windows si se intentara un hack.
¿Qué archivos pueden quedar?
¿Qué podría modificarse?
¿Cómo puedo recopilar de manera segura la información suficiente para saber si debe ser nuked desde la órbita?
¿La vulnerabilidad podría ser igual que la exploración de rutina? Todo el sombrero blanco hecho por el equipo sec. Si este es el caso, puede verificar a través de los registros de firewalls (dependiendo de si el tráfico pasa a través de él). Puede utilizar la herramienta llamada volatility para analizar cualquier cambio en la RAM o el sistema de archivos. Le proporciona un análisis instantáneo del estado actual de la seguridad informática.
Cualquier buen administrador de sistemas sabrá qué archivos hay en el servidor de su empresa y qué hay en esos archivos.
Lo primero que debes hacer es usar un programa o escribir un script para tomar nota de todos los archivos en el disco duro. La forma más segura de hacerlo sería montar el disco duro en un sistema operativo conocido para que el sistema operativo no le oculte ningún archivo. Toma nota de esto y guárdalo en un lugar seguro.
Lo siguiente que debes hacer es crear una suma de comprobación para cada uno de los archivos enumerados y mantenerlo en un lugar seguro también.
Este proceso irá bien con las copias de seguridad de su servidor porque sabrá de dónde restaurar.
Siempre que sospeche e intrusión, comprobará qué archivos se han agregado al sistema y verificará la integridad de los archivos con la suma de comprobación. Por supuesto, habrá ciertos archivos que siempre fallarán, como los archivos de registro. Pero querrá marcar los archivos que han cambiado sin su conocimiento, como los archivos de arranque o los archivos del sistema.
Un recurso adicional sería analizar el tráfico del servidor. Reúna toda la información que pueda para ser útil, como el puerto del servidor, el tráfico, etc.
Por lo general, un sistema comprometido intentará enviar cosas a Internet. Siendo que era un servidor de intercambio, puede ser usado para enviar correos electrónicos no deseados para que no se vean tan peculiares.
También se pueden detectar muchas intrusiones con virus, pero, por supuesto, ¡eso no significa que estés a salvo!
Lea otras preguntas en las etiquetas audit windows exchange network-scanners vulnerability-scanners