Certificado secuestrado e inicio de sesión remoto. ¿Computadora de oficina comprometida con un virus?

1

Este es un escritorio de Windows 10.

Esta mañana revisé la computadora de mi trabajo y noté muchas Alertas de Seguridad de un dominio de GoDdy español que intentaba usar el inicio de sesión remoto.

  • No había navegadores abiertos cuando apareció esta alerta de seguridad.
  • Esta computadora no tiene derechos de administrador

Nopudeobtenerunacapturadepantalladeloquesucedecuandohacesclicenvercertificado.Dijoalgosobreeliniciodesesiónremotoyeldominio.santillanausa.com,quepareceserunsitiowebdeaprendizajedelidiomaespañol.

Despuésdeabrireladministradordetareas,notéunprogramasospechosollamadoPROGRAMAquenecesitabaquelosderechosdeadministradorsecerraranynopuedohacerclicenlaspropiedades.

Después de que IT inhabilitó el PROGRAMA, esta Alerta de Seguridad no ha llegado.

No pude obtener una captura de pantalla de lo que sucede cuando haces clic en ver certificado. Dijo algo sobre el inicio de sesión remoto y el dominio .santillanausa.com

Estoy bastante seguro de que hxxp: //santillanausa.com/ no está intentando iniciar sesión de forma remota. Mi conjetura es que alguien robó su certificado. Apreciaría si alguien es consciente de cualquier vulnerabilidad como esta.

Mi pregunta es

  • ¿Desactivar el PROGRAMA es suficiente para que ya no se considere una amenaza a la seguridad?
  • Si este es un exploit conocido para Windows 10, ¿cómo se llama y ¿Cómo funciona?

ACTUALIZACIÓN: se analizó con el antivirus Malwarebytes y dice que no hay virus. Esto me pone muy nervioso porque obviamente hay un virus en el disco.

    
pregunta ConcernedUser 12.04.2018 - 15:39
fuente

1 respuesta

1

Esto probablemente suene como una respuesta vaga, pero sin más análisis del programa / ejecutable sospechoso, su actividad realizada en el sistema, las capturas de paquetes del tráfico de red sospechoso, etc., esta es la "mejor" respuesta que puedo idear con.

Cualquier programa 'desconocido' que se ejecute en un sistema corporativo de cualquier tipo es inherentemente un riesgo de seguridad. Por lo tanto, la existencia del programa puede considerarse en sí misma como un riesgo de seguridad propio. Si el programa es simplemente "sentarse en la computadora" sin hacer nada, o ejecutar y hacer algo de forma activa, es otro asunto que se debe tener en cuenta al responder a la existencia del programa.

Sin una disección y un análisis más detallados, no es posible darle una respuesta definitiva a su primera pregunta de "Deshabilitar el programa es suficiente para mitigar el riesgo de seguridad". Sin embargo, por lo general, simplemente 'apagar' el programa sospechoso no es suficiente para detener la causa principal del riesgo; sin un análisis más profundo, sin embargo, decir si esto es suficiente para deshabilitar el riesgo de seguridad es pura especulación (y en la mayoría de los casos es más seguro asumir que "No, esto no es suficiente", desde mi experiencia).

Sin embargo, esta no es la pregunta correcta que se debe hacer. La pregunta adecuada que el equipo de TI (y / o cualquier oficial o equipo de seguridad de la información relevante) debe formularse es "¿Cómo llegó este programa?" Esta pregunta es importante porque si es un programa instalado por un usuario final que tiene privilegios de administrador, eso es una cosa. Si se trata de un programa que llegó sin el conocimiento de nadie , entonces tiene suficiente para sugerir que puede haber una infracción en algún lugar, ya sea que un usuario haya visitado un sitio que explote una vulnerabilidad en el sistema específico o No o si el sistema fue pirateado por una fuente externa o no está aún por determinar.

En cuanto a su segunda pregunta acerca de si se utilizó un vector de ataque / ataque conocido de Windows 10 para que este programa se ejecute en su entorno, no podemos responderlo. Cualquier declaración que diga "sí" o "no" es pura especulación y no puede ser respaldada por ninguna evidencia. Dicha evidencia se obtendría mediante el análisis del sistema para determinar cualquier tráfico de red sospechoso hacia / desde el sistema, cualquier inicio de sesión remoto sospechoso, llamadas al sistema sospechosas, etc., de las cuales podemos usar los datos encontrados en esas investigaciones para determinar si o no no se explotó o no un "problema conocido".

En general, por lo tanto, lo mejor que puedo decir en respuesta a sus preguntas es lo siguiente:

  

La desactivación del programa o servicio, solo, probablemente no es suficiente para mitigar el riesgo. Sin embargo, esta no es una respuesta segura y, sin un análisis más profundo, la mejor conclusión que puedo ofrecerle es que existe un riesgo potencial para la seguridad de alcance y factor de riesgo desconocidos en el sistema en cuestión, sobre el cual se puede realizar un análisis adicional del programa. La actividad y el comportamiento pueden ayudar a determinar dicho alcance y / o factores de riesgo.

Si tuviera absolutamente para hacer recomendaciones a su equipo de TI, entonces serían estas, para comenzar:

  • Elimine el sistema afectado de la red y, si es posible, proporcione una máquina nueva y limpia para reemplazar esta máquina afectada.
  • Envíe el ejecutable sospechoso a VirusTotal o similar para su análisis.
  • Analice el tráfico de la red en el (los) sistema (s) de punto final afectado (s) o en la red en general para identificar el tráfico sospechoso, y a partir de ahí determine los posibles vectores de infección o las infracciones del sistema a través de los cuales los actores de amenazas podrían utilizar para secuestrar sistemas de punto final o -implantar 'la aplicación en otros sistemas.

Pero solo estas no son sugerencias totalmente informadas respaldadas por evidencia, y son sugerencias más 'generales' que muchos en el campo de Seguridad de la información le darán en respuesta a cualquier sospecha de violaciones o infecciones; en todos y cada uno de los casos, es necesario realizar un análisis más profundo y más profundo del sistema afectado y del programa / ejecutable sospechoso para proporcionar recomendaciones verdaderamente informadas .

    
respondido por el Thomas Ward 12.04.2018 - 22:04
fuente

Lea otras preguntas en las etiquetas