web-dev-qa-db-ja.com

この攻撃が発生した場合、その目的は何でしたか?

バックグラウンド

  • Windows 7 Home Edition HPデスクトップ(AVなし/ファイアウォールなし/リモートアシスタンスが有効)

  • 2つの外部ドライブが接続されている/ fioswifiに接続されている内部ドライブにドキュメントがない(wep保護/標準ログオンun:Admin pw:シリアル番号)

  • 最大5つのWebページにアクセスし、cnetダウンロードからrecuvaをダウンロードしました

  • recuvaを実行したままにし、コンピューターをアイドル状態/無人でWi-Fiに最大40日間接続しました(旅行中/電源を切るのを忘れたため)

  • コンピューターを起動して画面が表示されたとき、パスワードで保護されていない唯一のユーザープロファイルが画面に表示されていました

  • 注:モニターをウェイクアップする私の典型的な方法はボタンマッシングですが、8年間、他の誰かがログインしているときに誤ってログインすることはありませんでしたが、可能です、複製しましたが、試していました

  • 新しいVzIn Home Agentショートカットがデスクトップにあり、アイドル期間の20日後にインストールされました

  • Windows Defenderは、VZのインストール日を除いて、毎日アクティビティをログに記録しました(イベント番号はスキップされませんが、何か意味がある場合は、アクティビティはログに記録されませんでした)

  • 私は付加価値のあるターゲットではありません

  • Windowsイベントビューアには、数回ログインしたユーザー名(ユーザー名としての名、9文字の小文字のパスワード)が表示されます[ターミナルサービス:リモートデスクトップセッションの開始/使用する明示的な資格情報/タイプ2/3/7] 注:これらの「リモート」ログオンの多くは、インターネットに接続する前にログに記録されていました

  • Windows Event Viewerを使用して、VZがインストールされてから10日後にインターネット接続してから、パスワードなしのユーザープロファイル(ゲストではなく、父親のプロファイル)が初めてログインしたことがわかりました。この日付を、基本システムログで確認しました。ルーターGUIで、ログインの10分前を除いて外部IPが見つかりませんでした(1日に数回ログに記録された/新しいIPが代わりに使用されました/これはverizonだと思います):DHCP WAN接続IP :xxxxxxxx、DNS:68.237.161.12 71.243.0.12、GTW:xxxxxxx、サブネット:255.255.255.0(WAN MoCA)

  • それ以来、私は可能な限りすべてを変更し、wpa2にアップグレードし、リモートアシスタンスを無効にし、使用後にプラグを抜きました。

  • 物理的にアクセスできるのは私だけです

  • 私は「ヌード」を持っていません(そして私は男性です)が、誰かが恥ずかしいと思うもの、つまり酔ったつぶやきのビデオやそのような愚かなもの(ほとんどの人がそうであるように)を持っていると確信しています

  • コンピューターのインターネットへの接続は、Fios Wi-Fi(actiontec MI424WR /デフォルト設定)を介して行われます[確認済みのもの以外に、失敗したログオン試行はありません。]

質問:

  1. 上記の状況に基づいて、私以外の誰かが外部ドライブに保存されているドキュメントに物理的に存在することなくアクセスするには、攻撃に関するどの程度の専門知識が必要でしょうか?

a。このレベルの攻撃者によるコンピューター攻撃に関する最も一般的な最新の統計に基づいて、統計的に最も可能性の高いシナリオを想定すると、前述のネットワーク上の外部ドライブ内のドキュメントが危険にさらされているでしょうか?

2マシン/ネットワーク*が攻撃されたり、侵害されたりすることなく、前述のイベントが発生する可能性はありますか?

a。はいの場合:それはまれなことですか、一般的な出来事ですか、それともその中間ですか?

3マシン/ネットワーク*が攻撃されたと仮定すると、前述の症状は特定の種類の攻撃を統計的に示していますか?

a。はいの場合:上記の攻撃の最も統計的に一般的な理論的根拠に基づいて、前述のシナリオのドキュメントが侵害された確率(高/中/低)はどのくらいですか?

4前述のシナリオのマシンが危険にさらされた場合、最も可能性の高いシナリオでは、これの証拠は、ある時点でルーターのシステムロギングにあったでしょうか。

a。はいの場合:上記の情報と組み合わせた最も一般的なシナリオの統計に基づいて、証拠がまだ見つかる可能性はどのくらいありますか?

私。中程度または高い確率の場合:一般的な情報セキュリティの知識と、コンピュータ攻撃者の一般的な操作に関する最新の理解に基づいて、一般的に存在する3つの物語の兆候を教えてください。

前もって感謝します。

*私の理解では、ネットワークは私のマシンに対する最初の防御として機能します。問題のマシンが物理的に存在しない誰か/物によって攻撃され、ルーターを経由しない方法がある場合は、これをコメントとして追加してくださいそれに応じて質問を調整できます。質問に「ネットワーク」と「マシン」の両方を含めて、ネットワークが攻撃の直接の標的であった可能性があり、最初のネットワーク指向の攻撃の影響により、マシンが間接的な損傷/その後の攻撃を受けたシナリオを含めました。ありがとうございました。これはリモートの意見に基づくものではありません。

1
David

デビッド、問題は、ロギングを実装しておらず、攻撃者が見つけたり変更したりできない場所では、何かが発生した可能性があるということです。

攻撃者は、遊びに来て、探索し、マシン上のすべてを読み、キー情報を悪意を持って変更し、時限爆弾をインストールし、マシンをボットネットの一部として使用し、アクセスした可能性のあるサイトのパスワードを収集する可能性があります...何でも、本当に、そしてあなたはログなしで知る方法がありません。

要するに、マシンが危険にさらされていると考えてください-忘れてくださいおそらくシナリオ、そして最悪の事態を想定してください。マシンをワイプし、正常なメディアから再インストールし、すべてパスワードなどを変更します。

1
Rory Alsop