¿Cómo puede un novato encontrar pruebas de un compromiso del sistema?

5

Estoy casi seguro de que un colega instaló un keylogger en mi sistema. Soy totalmente nuevo en seguridad de TI, pero tengo una experiencia sustancial en linux / windows / programación.

El sistema que creo que está comprometido es ejecutar Windows 7 con la seguridad inteligente de Eset. Cualquier compromiso sería de scripts escritos personalizados (probablemente python).

¿Puede alguien indicarme la dirección de los recursos que necesitaría para encontrar el compromiso? También sería útil si pudiera encontrar el origen de cualquier infiltración.

Estoy pensando en dedicar de 10 a 30 horas en esto, y más si produce resultados sólidos. Obviamente me gustaría implementar medidas para contrarrestar futuros ataques, siempre y cuando no dedique más de 5 horas a la semana en ello. ¿Es esto posible?

¿Hay canales o foros de IRC que pueda consultar para obtener información más detallada sobre seguridad / análisis forense?

¡Gracias!

    
pregunta Allen Watsdal 26.12.2012 - 18:47
fuente

6 respuestas

7

Hay muchas maneras de buscar registradores clave. Algunos consumen más tiempo que otros y también pueden proporcionar falsos negativos.

  • Compre un conocido software de registrador anti key. O aproveche sus posibilidades con una distribución gratuita.

Esta es tu primera defensa y la cosa más fácil que puedes hacer. Un escáner puede encontrar archivos sospechosos o procesarlos y marcarlos. En este punto, investiga sobre estos procesos y descubre si son legítimos o no.

Es posible que el software no siempre funcione porque un buen registrador de claves puede ocultarse muy bien.

  • Escanee los puertos de sus computadoras y registre todo el tráfico.

Investigue si su computadora debería estar transmitiendo tráfico particular o no. Esto puede llevar mucho tiempo dependiendo de cuántos programas / servicios estén instalados.

Si encuentra algo fuera de lo común aquí, puede investigar y averiguar para qué sirve el tráfico. Una pregunta típica que debería hacer es: ¿debería tener el puerto 80 abierto en mi computadora?

Este método puede proporcionar un falso negativo porque es posible que el registrador de claves no esté ejecutándose o enviando información en ese momento.

  • Compare archivos con archivos buenos conocidos

Esto puede llevar mucho tiempo, dependiendo de cuántos archivos tengas. Para hacer esto, puede tomar un hash md5 de su archivo y compararlo con un hash md5 de un buen archivo que se encuentra en una instalación predeterminada con las actualizaciones y el software adecuados, o una copia de seguridad válida. Si los archivos son diferentes, el md5 será diferente. Probablemente debería montar el disco duro para saber que el sistema operativo actual no se está ejecutando.

Pregúntese si los archivos serán diferentes o no. Los archivos de registro serán diferentes, el archivo de páginas será diferente, etc. Es posible que esté buscando un sistema que sea diferente.

  • ¿Se han agregado archivos?

Averigüe si se han agregado archivos en comparación con una instalación predeterminada o una copia de seguridad válida conocida.

Investigue si los archivos están o no legítimamente instalados en su computadora. Por ejemplo, puede parecer que Skype es un programa legítimo, pero nunca lo instaló. Un registrador de claves podría disfrazarse como algo así.

  • ¿Qué más puedo hacer?

Compruebe si su cargador de arranque está infectado.

Use un escáner de rootkit.

Comprueba tu firmware.

    
respondido por el ponsfonze 27.12.2012 - 01:06
fuente
5

Usted personalmente no debe hacer nada.

No toque la máquina a partir de este momento. En su lugar, diríjase directamente a quien administre la seguridad de la información en su organización e informe sus sospechas.

Si no sabe quién es esa persona, vaya a su gerente de línea, a su contacto de recursos humanos o al jefe de TI. Si eres lo suficientemente pequeño como para no tener nada de eso, eres lo suficientemente pequeño como para acercarte directamente al jefe de toda la organización.

En casi cualquier empresa, esto es algo por lo que su colega será despedido inmediatamente por hacerlo; Su organización tendrá procesos que seguir, y lo último que necesitan es que usted comprometa forzosamente la máquina al buscarla.

Esto no es un problema técnico, es un problema de recursos humanos. Incluso si no te importara que este colega viera lo que escribes, ¿qué otras cosas tan estúpidas están haciendo?

    
respondido por el Graham Hill 27.12.2012 - 10:43
fuente
4

La respuesta de Iserni se refirió a esto, pero creo que vale la pena resaltarlo.

Un enfoque maravilloso para investigar cómo se te espía es difundir información falsa. Abra un documento en el bloc de notas y simule tener una conversación instantánea sobre su satisfacción con el bono de Navidad (inserte una figura adecuada que lo enojará enormemente). O hable sobre cómo será despedido.

El punto es escribir algo de lo que casi seguramente hablará con otros, pero nunca se lo digas a nadie.

De esa manera, tan pronto como el rumor circula, usted sabe con certeza de dónde vino. Y tenga pruebas de algún tipo, sin duda lo suficiente como para aprovechar una confesión.

    
respondido por el lynks 27.12.2012 - 17:11
fuente
2

En primer lugar, un descargo de responsabilidad "legal": si su colega lo ha hecho, ¿cómo se relaciona esto con las políticas de seguridad de su empresa y quién está a cargo de este último? Dos soluciones posibles serían ir a su $ {BOFH} local y buscar ayuda, o dejarle pistas generales de que puede hacerlo (porque "su estación de trabajo se siente inactiva", por ejemplo) con la esperanza de que su colega luego proceda a deshacer El daño.

También deberías preguntarte cómo te enfrentas a este colega tuyo, es decir, ¿por qué hizo esto? ¿Es este tipo de comportamiento aceptable? ¿Cómo reaccionará él / ella a su investigación de la situación si se da cuenta de que está sucediendo? ¿Qué harás si descubres algo y qué pasa si no descubres nada?

Una respuesta completa no es factible por las razones ya indicadas por Scott Pack, por lo que este es mi intento muy limitado.

Si necesita / quiere hacer justicia en sus propias manos, por así decirlo, tenga cuidado de hacerlo de una manera que no sea incompatible con las políticas de seguridad de su empresa. Por ejemplo, un truco sucio que confieso haberle hecho a un colega mío hace tantos años que implicaba dejarlo disponible para "yo mismo" (y quien me pueda personificar, es decir, él) un ejecutable que pretende ser un juego divertido y de broma porno. En realidad, era una aplicación "screamer", que era solo en el límite aceptable porque fingía creer que había sido engañado por el mismo sitio web que me había engañado. Este tipo de esquema es una variante de la "olla de miel" y se usa a menudo con documentos; básicamente, usted difunde información (ejecutables, documentos, etc.) de tal manera que cualquier persona que tenga acceso indebido a ellos está obligado a modificar su comportamiento de una manera reconocible . Si el nuevo comportamiento implica una infracción de la ley, la información se denomina sting y la que la proporciona (es decir, usted) puede ser procesada en algunas legislaciones.

Una forma más directa de recopilar evidencia sería investigar la estructura y el comportamiento de la máquina. Los keyloggers de hardware son reemplazos de teclado o pequeños complementos que se encontrarán a lo largo del cable del teclado (en configuraciones más sofisticadas, dentro del propio teclado). Los keyloggers de software son en tiempo real (es decir, transmiten claves a través de IP, generalmente a través de UDP, y son visibles para los sniffers de LAN; o bien ve conexiones TCP ESTABLECIDAS inexplicadas en algún lugar extraño, como la estación de trabajo de su compañero de trabajo, o tráfico UDP igualmente inexplicable). retrasado. Estos últimos almacenan su botín en archivos ocultos continuamente, y verás procesos inexplicables que abren archivos usando, por ejemplo, Explorador de procesos, o al reiniciar o cerrar la sesión del usuario. En este último caso, los keyloggers descuidados pueden ser reconocidos al inspeccionar cualquier archivo que se haya cambiado desde el último reinicio / cierre de sesión. Usted podría por ejemplo reinicie dos veces, abriendo y cerrando el Bloc de notas, uno casi sin usar el teclado, el segundo después de escribir (y no guardar) algunos kilobytes de basura. La comprobación de los tiempos y tamaños de los archivos modificados debería ofrecer algunas sugerencias.

Otra técnica (que normalmente requiere comenzar a partir de un sistema limpio conocido, y la suya definitivamente no lo es) es calcular una firma de integridad de todos los archivos del sistema y no del sistema (por ejemplo, "TripWire"). Esto lo ayudará a determinar nuevas modificaciones (pero recuerde que Windows Update generalmente mantiene el sistema en un estado muy fluido :-)) y señala los archivos cuyas marcas de tiempo no cambiaron mientras que sus contenidos lo hicieron , que es típico de los keyloggers más avanzados (puede ocultarse de un control de marca de tiempo, pero no de un control MD5; este último es muy costoso y, por lo tanto, raro, tiene sentido tratar de frustrar el primero).

Finalmente, mantenga un registro de sus accesos a su estación de trabajo y verifique con los registros de acceso del sistema si hay discrepancias.

    
respondido por el LSerni 26.12.2012 - 20:18
fuente
0

Según el tipo de keylogger, hay varias formas diferentes de realizar su tarea. Algunos de estos son bastante simplistas y otros son bastante complicados y técnicos. Esto puede ir desde "¿hay algún dispositivo conectado a la computadora que no debería estar?" Para hacer detallados forenses.

Si sospecha que ha ocurrido un delito, no le recomienda que vaya a cavar para esto usted mismo. Continuar jugando con la computadora podría comprometer la evidencia y posiblemente hacerlo inadmisible en la corte. Ejecutar y actualizar AV. Ejecutar un escáner de malware actualizado. Si eso no soluciona tu problema, recomendaría llevarlo a un profesional.

    
respondido por el grauwulf 26.12.2012 - 20:18
fuente
0

La mayoría de los infectores (como un keylogger) necesitarán un método de persistencia para mantener la capacidad de infección al reiniciar la computadora. Como control inicial, las Autoruns de la herramienta Sysinternals brindan la capacidad de verificar las ubicaciones donde opera Windows 7 El sistema mira al iniciar sesión en la computadora. La verificación de estas entradas en busca de entradas de aspecto sospechoso junto con su fecha y hora de instalación le ayudará a realizar una clasificación inicial, y es de esperar que si su adversario no es completamente competente, revele un resultado.

    
respondido por el namshub 27.12.2012 - 21:31
fuente

Lea otras preguntas en las etiquetas