Respuesta a incidentes: qué registros son de mayor interés después de un ataque de escritorio remoto de ingeniería social

Navega tus respuestas
6

Desafortunadamente, alguien de mi familia se cayó por una estafa telefónica después de que se filtraron los datos de TalkTalk. Como resultado, permitieron el acceso remoto a dos computadoras y transfirieron dinero de su cuenta bancaria por un valor de más de £ 10,000.

El banco devolverá el dinero, sin embargo, tengo el trabajo de intentar averiguar qué fue lo que se comprometió y realmente agradecería algunos consejos sobre lo siguiente:

Cuando llegué, las ventanas estaban protegidas con Syskey, que el atacante había puesto. El código ya era conocido porque el atacante lo había revelado por teléfono.

Revisé el historial del navegador y vi a la víctima descargar TeamViewer y permití la conexión remota a dos máquinas durante unas horas. El registro de Teamviewer no indica que se haya transferido ningún archivo, el historial del navegador tampoco indica que se haya descargado ningún otro archivo que no sea Teamviewer (por supuesto, podrían eliminarse, pero creo que la víctima cuestionaría eliminar varios fragmentos del historial del navegador). Mirando a través de los archivos de "última modificación" durante bastante tiempo, estoy casi seguro de que no se instaló nada y, a través del inicio y los procesos en ejecución, no pude encontrar nada demasiado sospechoso.

La historia de la víctima es que había un indicador de comando en la pantalla con una ráfaga de texto que se parecía a las rutas de archivo volando por la pantalla en ambas máquinas. Un registro de Rapport muestra que se inició un análisis de virus en ese momento en las dos máquinas que puede haber sido el.

Idealmente, quiero saber si los archivos se enviaron desde las computadoras atacadas ya que hay elementos privados allí. He estado buscando información sobre una estimación aproximada del tráfico de red del ISP, pero incluso con esa información será difícil saberlo ya que Teamviewer se estaba ejecutando. No hay mucho en cuanto al historial del navegador, aparte de visitar los sitios de los bancos, que todavía está allí, y he rastreado (a simple vista durante algunas horas) los diversos registros de eventos de Windows y no he encontrado mucho interés (aparte de encontrar el registro del visor de equipos y algo que dice que se inició un escaneo).

Sin un programa de terceros y utilizando CMD, ¿cómo podría un atacante enviar archivos? Supongo que FTP como Windows tiene un cliente FTP incorporado, pero no puedo encontrar ningún registro (ni sabría dónde estaría si hubiera uno).

Hasta ahora, mi solución ha sido tomar imágenes de ambos discos como copia de seguridad y volver a instalar ventanas en las dos máquinas nuevas y solo mover algunos documentos hacia atrás. Si bien esto principalmente asegura las máquinas (aparte de la ingeniería social), no me dice mucho sobre lo que sucedió durante la sesión de Teamviewer. Desafortunadamente, la víctima estaba bien y realmente desconcertada, por lo que no parece haber una cuenta fantástica de otra cosa que no sea "una ráfaga de texto que se parece a rutas de archivos" y unos pocos comandos cd .

Supongo que mi pregunta general es:

¿Cómo se pueden mover los archivos utilizando solo las funciones integradas de Windows y sabe de algún registro que producirían? ¿Hay algo más que usted verifique o haga? ¿Qué diversos fragmentos de la historia revisarías personalmente después de un ataque como este?

Tengo una imagen completa de ambas máquinas y, mientras estaba actualizando una a una SSD, también tengo una unidad de disco duro de arranque que no ha sido modificada desde que fue atacada, por lo que los registros generalmente todavía están disponibles.

    
pregunta ThePerson 26.08.2015 - 12:14
fuente

1 respuesta

4

Simplemente hay demasiadas formas de mover archivos a un sistema de Windows sin dejar mucho rastro.

Si su sistema operativo es reciente, tiene instalado powershell que permite ejecutar descargas HTTP (S) fácilmente y sin crear ningún registro, por ejemplo. O, como has señalado, FTP.

Una forma sencilla para que el estafador cargue y ejecute algún código fácilmente sería usar el portapapeles: iniciar una línea de comando y simplemente pegar el script en él. Solo se necesitarán un par de líneas para descargar y ejecutar un programa desde un sitio web y el indicador de Windows no mantiene un registro de los comandos que ejecuta.

En su caso, elegiría una de las dos opciones siguientes:

  • Supones que el atacante no trató de ocultar sus huellas y buscó algo de dinero fácil (fruta de baja altura) y que en realidad no miraron más profundo. Esta es una propuesta arriesgada, pero puede considerarla apropiada si no hay información importante sobre el sistema.
  • Usted asume que el atacante tenía las herramientas y la habilidad para realizar una penetración profunda del sistema (lo que es sorprendentemente fácil y rápido dado las herramientas de hoy) y, por lo tanto, debe considerar toda la información contenida en esta máquina: cualquier contraseña guardada o escrito, toda la información contenida en el documento almacenado o accesible, toda la cuenta utilizada (incluidas cosas como cuentas de almacenamiento en la nube, etc.) y toda la clave privada almacenada localmente y no protegida por una contraseña segura. Recuerde que el atacante también podría haber saltado a otros sistemas accesibles desde esta máquina.

No creo que nada entre estos dos extremos tenga mucho sentido. Cuál eligió, sin embargo, depende totalmente de usted. En cualquier caso, debe realizar una restauración completa del sistema (desde el metal, no desde el sistema operativo) y restablecer todas las contraseñas locales.

    
respondido por el Stephane 26.08.2015 - 16:13
fuente

Lea otras preguntas en las etiquetas

¿Qué se almacena en una tarjeta bancaria y cómo se protege? ¿Fortalecimiento de SSL / TLS en Azure Cloud Service para A + en Qualys SSL Labs?