Checklist per verificare tracce di compromissione su una macchina Windows – Individuazione delle intrusioni

13 Novembre 2018 di In: Sistemistico
Questo Cheat Sheet vuole aiutare nel caso in cui una vostra macchina Windows sia stata compromessa o per qualsiasi altro motivo. Questo articolo è per gli amministratori Windows e personale di sicurezza per eseguire un’analisi completa della macchina (il locale e in rete) tenendo presente che lo scopo finale è trovare delle tracce di compromissione.

1) Log Inusuali:

Controllate nei vostri log eventi sospetti come: – “Event log service was stopped.” – “Windows File Protection is not active on this system.” – “The protected System file [file name] was not restored to its original, valid version because of the Windows File Protection…” – “The MS Telnet Service has started successfully.” – Cercare un gran numero di tentativi di accesso fallito o account bloccati. Per fare ciò utilizzando l’interfaccia grafica (GUI), eseguite il visualizzatore eventi di Windows: 
eventvwr.msc
Utilizzando il prompt (CLI): 
eventquery.vbs | more
Oppure, per concentrarsi su un particolare log: 
eventquery.vbs /L security
AGGIORNAMENTO: Nei sistemi operativi post Vista il comando è: 
wevtutil qe System
Il comando precedente interrogerĂ  il log “System”. Se avete archiviato un log file .evt, potete trovare il testo “license found” usando: wevtutil qe “C:\Directory\SubDirectory\logFile.evt” /lf:true | findstr /C:”license found” Se volete restringere le ricerche in modo che includano solo un certo livello di evento, puoi interrogare i registri utilizzando il numero relativo al livello. 
Level 4 - Information
Level 3 - Warning
Level 2 - Error
Level 1 - Critical
Per altre caratteristiche: 
wevtutil /?

2) Processi e servizi inusuali:

Cercate processi strani/non attesi, e concentratevi su processi che vengono eseguiti con username “SYSTEM” o “ADMINISTRATOR” (o utenti nel gruppo Administrator). E’ necessario che abbiate familiaritĂ  con i processi e dei servizi “normali” per poter cercare le anormalitĂ . Utilizzando l’interfaccia grafica (GUI): 
taskmgr.exe
Utilizzando il prompt (CLI): 
tasklist
wmic process list full
Cercate anche servizi strani. Utilizzando l’interfaccia grafica (GUI): 
services.msc
Utilizzando il prompt (CLI): 
net start
sc query
Per una lista di servizi associati ad ogni processo: 
tasklist /svc

3) File e Chiavi di registro inusuali:

Controllate l’utilizzo dello spazio disco per cercare improvvise diminuzioni di spazio disco libero, utilizzando la GUI (click con il tasto destro sulla partizione) Utilizzando la CLI: 
dir c:
Cercate per file grandi o enormi che non dovrebbero esserci Start -> Cerca -> File e Cartelle… -> Opzioni di ricerca -> Dimensione -> Almeno 10000KB Cercate programmi strani che compaiono nelle chiavi di registro che sono associate con l’avvio della macchina: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce 
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce\Ex
Notate che dovresti anche controllare la controparte HKCU – HKEY_CURRENT_USER (sostituite HKLM con HKCU nelle chiavi evidenziate. Utilizzando la GUI: 
regedit
Utilizzando la CLI: 
reg query <chiave di="" registro=""></chiave>

4) Utilizzo di rete inusuale:

Guardate le cartelle condivise, e assicuratevi che ognuna abbia un suo ruolo o un senso: 
net view \\127.0.0.1
Guardate chi ha una sessione aperta con la macchina: 
net session
Guardate che sessioni ha aperto la vostra macchina: 
net use
Guarda l’attivitĂ  del NetBIOS su TCP/IP: 
nbtstat -S
Cercate delle porte in ascolto inusuali (TCP e UDP): 
 netstat -na
Per avere un aggiornamento continuo (ogni 5 secondi): 
 netstat -na 5
Il flag -o mostra l’id del processo superiore: 
 netstat -nao 5
Il flag -b mostra il nome dell’eseguibile e le DLL caricate per la connessione di rete. 
 netstat -naob 5
Notate che il flag -b utilizza molte risorse della CPU. Di nuovo, è necessario che siate a conoscenza di quali sono le porte normalmente utilizzate e verifichiate le anomalie. Controllate anche la configurazione del firewall di Windows: 
netsh firewall show config

5) Operazioni pianificate inusuali:

Cercate delle operazioni pianificate inusuali (scheduled tasks), specialmente quelli che vengono eseguiti con un utente presente nel gruppo Administrators, come SISTEM, o con uno username formato da spazi (blank). Utilizzando la GUI: Start -> Programmi -> Accessori -> UtilitĂ  di Sistema -> Operazioni pianificate Utilizzando la CLI: 
schtasks
Controllate anche le voci che partono in autostart, ricordando di controllare le directory di esecuzione automatica degli utenti e le chiavi di registro. Utilizando la GUI: Start -> Esegui -> msconfig.exe Utilizzando la CLI: 
wmic startup list full

6) Account utente insuali

Cercate account nuovi o non attesi nel gruppo Administrators: 
lusrmgr.msc
Cliccate su Gruppi -> Doppio click su Administrators -> Controllate i membri appartenenti a quel gruppo. Per farlo utilizzando la CLI: 
net user
net localgroup administrators

7) Altri oggetti inusuali

Cercate i servizi che rallentano molto la CPU Gestione AttivitĂ  -> Prestazioni Cercate i crash di sistema strani oltre al livello normale del sistema. Dovreste eseguire questi check periodicamente (ogni giorno, ogni settimana o ogni volta vi connettete ad un computer). Tutti i comandi vengono eseguiti localmente.

Nessun commento presente