web-dev-qa-db-ja.com

初心者はどのようにしてシステムの侵害の証拠を見つけることができますか?

同僚が私のシステムにキーロガーをインストールしたことはほぼ間違いありません。私はITセキュリティにまったく不慣れですが、Linux、Windows、プログラミングの経験が豊富です。

私が侵害していると思われるシステムは、Esetスマートセキュリティを備えたWindows 7を実行していることです。妥協は、カスタム記述されたスクリプト(おそらくpython)によるものです。

誰かが妥協点を見つけるために必要なリソースの方向に私を向けることができますか?それから、浸透の起源を見つけることができれば助かります。

私はこれに10〜30時間を費やし、それが確かな結果を生むのであればもっと費やすつもりです。将来の攻撃に対抗するための対策を実装したいのは明らかです-週に5時間を超える時間を費やさない限り。これは可能ですか?

IRCより詳細なセキュリティ/フォレンジック情報を確認できるチャネルまたはフォーラムはありますか?

ありがとうございました!

windowsviruskeyloggers
5
Allen Watsdal

キーロガーを見つける方法はたくさんあります。一部のものは他のものよりも時間がかかり、偽陰性をもたらすこともあります。

  • 有名なアンチキーロガーソフトウェアを購入します。または、無料の配布でチャンスをつかんでください。

これはあなたの最初の防御であり、あなたができる最も簡単なことです。スキャナーは疑わしいファイルまたはプロセスを見つけて、それらにフラグを立てます。この時点で、これらのプロセスについて調査し、それらが正当であるかどうかを確認します。

優れたキーロガーはそれ自体を非常によく隠す可能性があるため、ソフトウェアは常に機能するとは限りません。

  • コンピュータのポートをスキャンし、すべてのトラフィックをログに記録します。

コンピュータが特定のトラフィックを送信する必要があるかどうかを調査します。インストールされているプログラム/サービスの数によっては、非常に時間がかかる場合があります。

ここで異常なことを見つけた場合は、トラフィックの目的を調査して見つけることができます。あなたが尋ねるべき典型的な質問は、私のコンピュータでポート80を開いているべきですか?

この方法では、キーロガーが実行されていないか、その時点で情報を送信していない可能性があるため、偽陰性になる可能性があります。

  • ファイルを既知の正常なファイルと比較

ファイルの数によっては、非常に時間がかかる場合があります。これを行うには、ファイルのmd5ハッシュを取得し、適切な更新プログラムとソフトウェア、または既知の適切なバックアップを含むデフォルトのインストールにある適切なファイルのmd5ハッシュと比較します。ファイルが異なる場合、md5は異なります。現在のオペレーティングシステムが実行されていないことがわかるように、おそらくハードドライブをマウントする必要があります。

ファイルが異なるかどうかを自問してください。ログファイルは異なります、ページファイルは異なりますなど。異なるシステムを探している可能性があります。

  • ファイルが追加されていますか?

デフォルトのインストールまたは既知の適切なバックアップと比較して、ファイルが追加されているかどうかを確認します。

コンピュータにファイルが正当にインストールされているかどうかを調べます。たとえば、Skypeは正規のプログラムのように見えても、インストールしたことはありません。キーロガーはそのようなものに偽装される可能性があります。

  • 他に何ができますか?

ブートローダーが感染していないか確認してください。

ルートキットスキャナーを使用します。

ファームウェアを確認してください。

7
ponsfonze

あなたは個人的に何もしなければなりません。

この時点から機械に触れないでください。代わりに、組織の情報セキュリティを管理している人に直接行き、疑いを報告してください。

その人が誰かわからない場合は、ラインマネージャー、人事担当者、またはIT部門の責任者に連絡してください。あなたがそれらを持たないほど十分に小さいならば、あなたは組織全体の頭に直接アプローチするのに十分小さいです。

ほとんどすべての会社で、これはあなたの同僚がすぐに解雇されます。あなたの組織には従うべきプロセスがあり、彼らが必要とする最後の事柄はあなたがそれをぶちまけることによってマシンを法医学的に危険にさらすことです。

これは技術的な問題ではなく、HRの問題です。この同僚が入力内容を見るのを気にしていなかったとしても、彼らは他に何をしてるの?

5
Graham Hill

イゼルニの答えはこれに触れたが、強調する価値があると思う。

あなたがスパイされている方法を調査するための素晴らしいアプローチは、偽の情報を広めることです。メモ帳のドキュメントを開き、大量のクリスマスボーナスにどれほど満足しているかについてインスタントメッセージで会話するふりをします(彼を非常に怒らせる適切な図を挿入します)。または、どのように発砲されるかについて話します。

ポイントは、彼がほぼ確実に他の人に話すであろう何かをタイプすることですが、誰にも自分自身には決して伝えないことです。

そうすれば、噂が広まるとすぐに、それがどこから来たのかが確実にわかります。そして、確かに告白を活用するのに十分な種類の証拠を持っています。

4
lynks

まず、「法的」免責事項:同僚が実際にそうした場合、これはあなたの会社のセキュリティポリシーとどのように関連し、誰が後者の責任を負いますか? 2つの可能な解決策は、ローカルの$ {BOFH}に行って支援を求めるか、同僚が元に戻すことを期待して(たとえば、「ワークステーションの速度が遅い」ため)可能性のある幅広いヒントをドロップすることです。ダメージ。

また、あなたは自分の同僚に対してどのように立っているのかを自問する必要があります。つまり、なぜ彼/彼女はこれをしたのですか?この種の動作は許容されますか?状況が発生していることに気付いた場合、状況の調査にどのように反応しますか?何かを発見した場合はどうしますか、何も発見しなかった場合はどうしますか?

スコットパックですでに指摘されている理由により、包括的な答えを得ることができないため、これは私の非常に狭い試みです。

自分の手で正義をとる必要がある、またはしたい場合は、会社のセキュリティポリシーと両立しない方法で行うように注意してください。たとえば、私が同僚に打ち明けた汚いトリックは、何年も前に、「自分」(および私になりすませることができる人、つまり彼)がポルノジョークの楽しいゲームであると主張する実行可能ファイルを利用できるようにすることでした。それは、実際には「スクリーマー」アプリケーションでしたちょうど境界線許容範囲でした。なぜなら、私が彼を騙したのと同じWebサイトに騙されたと信じていたからです。この種のスキームは「ハニーポット」のバリアントであり、ドキュメントでよく使用されます。基本的に、情報(実行可能ファイル、ドキュメントなど)を、それらに不適切なアクセス権を持つ誰もがrecognizeableの方法で彼/彼女の動作を変更するようにバインドされるような方法で配布します。新しい行動に違法行為が含まれる場合、情報はstingと呼ばれ、それを提供するもの(つまり、あなた)は一部の法律で起訴される可能性があります。

証拠を収集するより直接的な方法は、マシン自体の構造と動作を調査することです。ハードウェアキーロガーは、キーボードの代替品または小さなプラグインのいずれかであり、キーボードケーブルに沿って見つかります(より高度な設定ではinsideキーボード自体)。ソフトウェアキーロガーはリアルタイム(つまり、通常はUDPを介してIPを介してキーを送信し、LANスニファーに表示されます)は、説明されていないESTABLISHED TCP同僚のワークステーションなどの奇妙な場所への接続、または同様に説明されていないUDPトラフィックへの遅延または遅延)これらは最後に隠しファイルに自分の戦利品を継続的に格納し、たとえばプロセスエクスプローラーを使用して、または再起動またはユーザーのログアウト時に説明されていないプロセスがファイルを開いているのを確認します。この最後の場合、不注意なキーロガー最後の再起動/ログオフ以降に変更されたことが判明したファイルを検査することで認識できます。たとえば、メモ帳を開いたり閉じたりして2回再起動します。1つ目はほとんどキーボードを使用せず、2つ目は書き込み後に(保存せずに)数キロバイトです。変更されたファイルの時間とサイズを確認すると、いくつかのヒントが得られるはずです。

別の手法(通常、既知のクリーンなシステムから開始する必要がありますが、これは間違いなくそうではありません)は、すべてのシステムファイルと非システムファイル(Googleなどの「TripWire」)から整合性署名を計算することです。これは、さらに変更を確認するのに役立ちます(ただし、Windows Updateは通常、システムを非常に流動的な状態に保つことに注意してください:-))、タイムスタンプが変更されなかったファイルを特定します内容は変更されましたが、これはより高度なキーロガーの典型的なもの(タイムスタンプチェックから非表示にすることはできますが、MD5チェックからは非表示にできません。後者は非常に高価であるため、まれなので、前者を阻止するのは理にかなっています)。

最後に、ワークステーションへのアクセスのログを保管し、矛盾がないかどうかをシステムのアクセスログで確認します。

2
LSerni

キーロガーのタイプに応じて、タスクを実行するいくつかの異なる方法があります。これらのいくつかはかなり単純化しており、いくつかはかなり複雑で技術的です。これは、「コンピューターに接続すべきでないはずのデバイスが接続されていないか?」詳細な科学捜査を行うことに。

犯罪が発生したと思われる場合はnotですので、自分で調べてみてください。コンピュータをいじり続けると証拠を危うくし、法廷でそれを容認できなくなる可能性があります。実行して最新のAV。最新のマルウェアスキャナーを実行します。それでも問題が解決しない場合は、専門家に相談することをお勧めします。

0
grauwulf

ほとんどの感染者(キーロガーなど)は、コンピューターの再起動時に感染能力を維持するための持続性の方法が必要になります。初期チェックとして、 Sysinternals Tool Autoruns は、コンピューターにログインしたときにWindows 7オペレーティングシステムが見る場所をチェックする機能を提供します。これらのエントリをチェックして、不審なエントリとインストールの日時を確認すると、最初のトリアージを実行するのに役立ちます。うまくいけば、敵が十分な能力を持っていない場合は、結果を明らかにできます。

0
namshub