Checklist per verificare tracce di compromissione su una macchina Windows – Individuazione delle intrusioni

13 Novembre 2018 di In: Sistemistico

Questo Cheat Sheet vuole aiutare nel caso in cui una vostra macchina Windows sia stata compromessa o per qualsiasi altro motivo.

Questo articolo è per gli amministratori Windows e personale di sicurezza per eseguire un’analisi completa della macchina (il locale e in rete) tenendo presente che lo scopo finale è trovare delle tracce di compromissione.

1) Log Inusuali:

Controllate nei vostri log eventi sospetti come:
– “Event log service was stopped.”
– “Windows File Protection is not active on this system.”
– “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…”
– “The MS Telnet Service has started successfully.”
– Cercare un gran numero di tentativi di accesso fallito o account bloccati.

Per fare ciò utilizzando l’interfaccia grafica (GUI), eseguite il visualizzatore eventi di Windows:

eventvwr.msc

Utilizzando il prompt (CLI):

eventquery.vbs | more

Oppure, per concentrarsi su un particolare log:

eventquery.vbs /L security

AGGIORNAMENTO:
Nei sistemi operativi post Vista il comando è:

wevtutil qe System

Il comando precedente interrogerà il log “System”. Se avete archiviato un log file .evt, potete trovare il testo “license found” usando:

wevtutil qe “C:\Directory\SubDirectory\logFile.evt” /lf:true | findstr /C:”license found”

Se volete restringere le ricerche in modo che includano solo un certo livello di evento, puoi interrogare i registri utilizzando il numero relativo al livello.

Level 4 - Information
Level 3 - Warning
Level 2 - Error
Level 1 - Critical

Per altre caratteristiche:

wevtutil /?

2) Processi e servizi inusuali:

Cercate processi strani/non attesi, e concentratevi su processi che vengono eseguiti con username “SYSTEM” o “ADMINISTRATOR” (o utenti nel gruppo Administrator). E’ necessario che abbiate familiarità con i processi e dei servizi “normali” per poter cercare le anormalità.

Utilizzando l’interfaccia grafica (GUI):

taskmgr.exe

Utilizzando il prompt (CLI):

tasklist
wmic process list full

Cercate anche servizi strani. Utilizzando l’interfaccia grafica (GUI):

services.msc

Utilizzando il prompt (CLI):

net start
sc query

Per una lista di servizi associati ad ogni processo:

tasklist /svc

3) File e Chiavi di registro inusuali:

Controllate l’utilizzo dello spazio disco per cercare improvvise diminuzioni di spazio disco libero, utilizzando la GUI (click con il tasto destro sulla partizione)

Utilizzando la CLI:

dir c:

Cercate per file grandi o enormi che non dovrebbero esserci

Start -> Cerca -> File e Cartelle… -> Opzioni di ricerca -> Dimensione -> Almeno 10000KB

Cercate programmi strani che compaiono nelle chiavi di registro che sono associate con l’avvio della macchina:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce 
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce\Ex

Notate che dovresti anche controllare la controparte HKCU – HKEY_CURRENT_USER (sostituite HKLM con HKCU nelle chiavi evidenziate.

Utilizzando la GUI:

regedit

Utilizzando la CLI:

reg query <chiave di="" registro=""></chiave>

4) Utilizzo di rete inusuale:

Guardate le cartelle condivise, e assicuratevi che ognuna abbia un suo ruolo o un senso:

net view \\127.0.0.1

Guardate chi ha una sessione aperta con la macchina:

net session

Guardate che sessioni ha aperto la vostra macchina:

net use

Guarda l’attività del NetBIOS su TCP/IP:

nbtstat -S

Cercate delle porte in ascolto inusuali (TCP e UDP):

 netstat -na

Per avere un aggiornamento continuo (ogni 5 secondi):

 netstat -na 5

Il flag -o mostra l’id del processo superiore:

 netstat -nao 5

Il flag -b mostra il nome dell’eseguibile e le DLL caricate per la connessione di rete.

 netstat -naob 5

Notate che il flag -b utilizza molte risorse della CPU.
Di nuovo, è necessario che siate a conoscenza di quali sono le porte normalmente utilizzate e verifichiate le anomalie.

Controllate anche la configurazione del firewall di Windows:

netsh firewall show config

5) Operazioni pianificate inusuali:

Cercate delle operazioni pianificate inusuali (scheduled tasks), specialmente quelli che vengono eseguiti con un utente presente nel gruppo Administrators, come SISTEM, o con uno username formato da spazi (blank).

Utilizzando la GUI:

Start -> Programmi -> Accessori -> Utilità di Sistema -> Operazioni pianificate

Utilizzando la CLI:

schtasks

Controllate anche le voci che partono in autostart, ricordando di controllare le directory di esecuzione automatica degli utenti e le chiavi di registro.

Utilizando la GUI:

Start -> Esegui -> msconfig.exe

Utilizzando la CLI:

wmic startup list full

6) Account utente insuali

Cercate account nuovi o non attesi nel gruppo Administrators:

lusrmgr.msc

Cliccate su Gruppi -> Doppio click su Administrators -> Controllate i membri appartenenti a quel gruppo.

Per farlo utilizzando la CLI:

net user
net localgroup administrators

7) Altri oggetti inusuali

Cercate i servizi che rallentano molto la CPU

Gestione Attività -> Prestazioni

Cercate i crash di sistema strani oltre al livello normale del sistema.

Dovreste eseguire questi check periodicamente (ogni giorno, ogni settimana o ogni volta vi connettete ad un computer). Tutti i comandi vengono eseguiti localmente.

Nessun commento presente