Promemoria di Penetration Testing su una macchina Windows – Individuazione delle intrusioni

13 novembre 2018 di In: Sistemistico

Questo Cheat Sheet vuole aiutare nel caso in cui una vostra macchina Windows sia stata compromessa o per qualsiasi altro motivo.

Questo articolo è per gli amministratori Windows e personale di sicurezza per eseguire un’analisi completa della macchina (il locale e in rete) tenendo presente che lo scopo finale è trovare delle tracce di compromissione.

1) Log Inusuali:

Controllate nei vostri log eventi sospetti come:
– “Event log service was stopped.”
– “Windows File Protection is not active on this system.”
– “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”
– “The MS Telnet Service has started successfully.”
– Cercare un gran numero di tentativi di accesso fallito o account bloccati.

Per fare ciò utilizzando l’interfaccia grafica (GUI), eseguite il visualizzatore eventi di Windows:

C:>eventvwr.msc

Utilizzando il prompt (CLI):

C:>eventquery.vbs | more

Oppure, per concentrarsi su un particolare log:

C:>eventquery.vbs /L security

2) Processi e servizi inusuali:

Cercate processi strani/non attesi, e concentratevi su processi che vengono eseguiti con username “SYSTEM” o “ADMINISTRATOR” (o utenti nel gruppo Administrator). E’ necessario che abbiate familiarità con i processi e dei servizi “normali” per poter cercare le anormalità.

Utilizzando l’interfaccia grafica (GUI):

C:>taskmgr.exe

Utilizzando il prompt (CLI):

C:>tasklist
C:>wmic process list full

Cercate anche servizi strani. Utilizzando l’interfaccia grafica (GUI):

C:>services.msc

Utilizzando il prompt (CLI):

C:>net start
C:>sc query

Per una lista di servizi associati ad ogni processo:

c:>tasklist /svc

3) File e Chiavi di recistro inusuali:

Controllate l’utilizzo dello spazio disco per cercare improvvise diminuzioni di spazio disco libero, utilizzando la GUI (click con il tasto destro sulla partizione)

Utilizzando la CLI:

C:>dir c:

Cercate per file grandi o enormi che non dovrebbero esserci

Start -> Cerca -> File e Cartelle… -> Opzioni di ricerca -> Dimensione -> Almeno 10000KB

Cercate programmi strani che compaiono nelle chiavi di registro che sono associate con l’avvio della macchina:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce 
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce\Ex

Notate che dovresti anche controllare la controparte HKCU – HKEY_CURRENT_USER (sostituite HKLM con HKCU nelle chiavi evidenziate.

Utilizzando la GUI:

C:>regedit

Utilizzando la CLI:

C:>reg query <chiave di registro>

4) Utilizzo di rete inusuale:

Guardate le cartelle condivise, e assicuratevi che ognuna abbia un suo ruolo o un senso:

C:>net view \\127.0.0.1

Guardate chi ha una sessione aperta con la macchina:

C:>net session

Guardate che sessioni ha aperto la vostra macchina:

C:>net use

Guarda l’attività del NetBIOS su TCP/IP:

C:>nbtstat -S

Cercate delle porte in ascolto inusuali (TCP e UDP):

C:> netstat -na

Per avere un aggiornamento continuo (ogni 5 secondi):

C:> netstat -na 5

Il flag -o mostra l’id del processo superiore:

C:> netstat -nao 5

Il flag -b mostra il nome dell’eseguibile e le DLL caricate per la connessione di rete.

C:> netstat -naob 5

Notate che il flag -b utilizza molte risorse della CPU.
Di nuovo, è necessario che siate a conoscenza di quali sono le porte normalmente utilizzate e verifichiate le anomalie.

Controllate anche la configurazione del firewall di Windows:

C:>netsh firewall show config

5) Operazioni pianificate inusuali:

Cercate delle operazioni pianificate inusuali (scheduled tasks), specialmente quelli che vengono eseguiti con un utente presente nel gruppo Administrators, come SISTEM, o con uno username formato da spazi (blank).

Utilizzando la GUI:

Start -> Programmi -> Accessori -> Utilità di Sistema -> Operazioni pianificate

Utilizzando la CLI:

C:>schtasks

Controllate anche le voci che partono in autostart, ricordando di controllare le directory di esecuzione automatica degli utenti e le chiavi di registro.

Utilizando la GUI:

Start -> Esegui -> msconfig.exe

Utilizzando la CLI:

wmic startup list full

6) Account utente insuali

Cercate account nuovi o non attesi nel gruppo Administrators:

C:>lusrmgr.msc

Cliccate su Gruppi -> Doppio click su Administrators -> Controllate i membri appartenenti a quel gruppo.

Per farlo utilizzando la CLI:

C:>net user
C:>net localgroup administrators

7) Altri oggetti inusuali

Cercate i servizi che rallentano molto la CPU

Gestione Attività -> Prestazioni

Cercate i crash di sistema strani oltre al livello normale del sistema.

Dovreste eseguire questi check periodicamente (ogni giorno, ogni settimana o ogni volta vi connettete ad un computer). Tutti i comandi vengono eseguiti localmente.

Nessun commento presente