Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Proszę o pomoc! Przeciwdziałanie szpiegostwu
#11
(03-01-2016, 21:41)Kamil++ napisał(a): @Up

Sam nawiązujesz do sesji meterpretera więc zdecyduj się o co ci chodzi. Autorowi wątku napisałem wszystkie sposoby przez które typ mógł dostać się do jego kompa - zarówno poprzez atak z sieci lokalnej, WAN, ale również fizycznej. Najbardziej prawdopodobny jest atak z WANA, ale jeśli koleś jest dobry to atak lokalny też jest możliwy - i niekoniecznie musi zostawić jakiś ślad na komputerze.

Przeczytaj jeszcze raz co napisałem i co Ty wyżej napisałeś, bo chyba nie rozumiesz. I pokaż gdzie wypisujesz wszystkie wektory ataku. Meterpreter to przykład - najprostszy, script kiddie made. Możemy przejść do bardziej zaawansowanych ataków, chętnie poczytam co masz do powiedzenia na ten temat, zauważ jednak, że mamy proste pytanie a nie raport z forensicu w pierwszym poście.

Każdy atak pozostawia jakieś ślady. Tak działają komputery. Polecam poczytać. Nawet jeśli nie będzie to na komputerze ofiary to na nodeach w połączeniu. Tak działa sieć, tego nie przeskoczysz.  

Po drugie, combofix nie jest antimalwarem, jego użycie bez odpowiedniej wiedzy (skoro OP pyta, znaczy wiedzy takiej raczej nie ma) może stworzyć więcej problemów niż naprawić. Dlatego jego polecenie jako "antimalware" jest radą szkodliwą. I jako osoba opowiadająca się z pozycji specjalisty powinieneś to wiedzieć.
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#12
W każdym momencie mogę przeprowadzić z Tobą dyskusję na temat możliwych wektorów ataku, ale nie tutaj jest na to miejsce więc jakby co to priv.

Masz rację, pozostaną jakieś ślady - tylko pojawia się wtedy również rozważanie czy, w tym wypadku policja, będzie w stanie je wychwycić, bo co do tego jest sporo wątpliwości. Zastanów się - zakładając, że wszystkie logi sys. zostały wyczyszczone, wątpie, czy plicji chciałoby się szukać dalej. Nie mówiąc już o tym, że atakujący może korzystać z cebulaka/zombie weba.

Co do combofixa - faktycznie, jest w stanie wyrządzić szkody w systemie, ale jest również w stanie wykryć to, czego zwykły skaner ant. nie wykryje. W razie problemów - zawsze jest kopia zapasowa i punkt przywracania.
Odpowiedz
#13
Nadal nie odpowiedziałeś gdzie: "Autorowi wątku napisałem wszystkie sposoby przez które typ mógł dostać się do jego kompa". Pomińmy już słowo "wszystkie". Napisałeś coś tam o nmapie, nieszczęsnym combofixie, wyraziłeś pewność, że jak nie jest podłączony do sieci to nie jest w jego LANie.

Nie wziąłeś pod uwagę, że punktem zrzutu nie musi być podpięty do sieci komputer/nie musi on działać cały czas (np. ping z określonego adresu może być triggerem do przesłania informacji z jakiegoś okresu). (to tak przy okazji)


Wiesz na czym polegają ataki na różnych warstwach * i w co są skierowane? Bo piszesz bzdury (to o "sieci fizycznej") - chodzi o fizyczną topologię czy odwołujesz się do warstw modelu osi/iso tcp? Jestem ciekaw tego ataku z sieci fizycznej. Opisz, może to być ewenement na skalę światową. (chyba, że zdanie nieskładne i chodzi o fizyczny dostęp, ale tego nie precyzujesz)

"Co do combofixa - faktycznie, jest w stanie wyrządzić szkody w systemie, ale jest również w stanie wykryć to, czego zwykły skaner ant. nie wykryje." co to "zwykły skaner" <antywirusa> i jakie to możliwości magiczne posiada combofix. Zgłębiałeś bazy danych av, czy metody heurystyczne? Statystyki wykrywalności? Czy tak tylko piszesz? Jeśli chodzi o wszelkie metody ukrywania i blokowania av przez malware to są bezpieczniejsze sposoby (boot z rescuedisków) od vendorów AV.

"W razie problemów - zawsze jest kopia zapasowa i punkt przywracania.' - skąd wiesz, że OP taki posiada? Rada jak dla mnie szkodliwa. Nic personalnego, ale są fora, na których za szkodliwe porady się banuje. Skoro jesteś specjalistą precyzuj, bo może to kogoś kosztować ważne dane, których z racji ilości overwritte nie da się odzyskać nawet w labie.


"będzie w stanie je wychwycić, bo co do tego jest sporo wątpliwości. Zastanów się - zakładając, że wszystkie logi sys. zostały wyczyszczone, wątpie, czy plicji chciałoby się szukać dalej. Nie mówiąc już o tym, że atakujący może korzystać z cebulaka/zombie weba."
Syslogi to nie wszystko. Zresztą trzeba by je nadpisać. Sam malware jest w stanie dużo powiedzieć. Z czym się łączy etc. Nawet jeśli główną metodą przeciwdziałaniu detekcji jest utrzymywanie w RAM to po pewnym czasie bez podtrzymania ta pamięć jest czyszczona. Skoro dostęp jest raczej permanentny z tego co można wywnioskować z opisu OP, to znaczy, że coś musi być przechowywane w pamięci trwałej. To windows nie mac, więc ROM bym odpuścił i skupił się na analizie HDD. Nikt nie mówi o działaniu policji. Są informatycy biegli, których praca nie polega na "checniu się". "cebulak" - fajna nazwa na TORa, ale kiedy domorośli hakierzy nauczą się, że onion to nie wszystko?

P.S. czekam na pw :) i wydaje mi się, że to jednak odpowiednie miejsce, pozwoli rozwiać wątpliwości i znaleźć rozwiązanie problemu.

Edyta, dodałem PS'a
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#14
Post pod postem, mam nadzieję, że zostanie mi to wybaczone. ;)


Coś się zmieniło w temacie? (pytanie do OP/Autora wątku)
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#15
Zmieniło się niewiele. Problem mam z tym skanem nmapem, bo nie bardzo wiem na co mam zwracać uwagę przy tym. Znalazłem listę komend których można użyć, ale nie wiem jak mam oceniać wyniki skanów. Co jest istotne w mojej sprawie. Jeśli ktoś byłby tak miły i mnie nieco naprowadził to byłbym bardzo wdzięczny. Pocieszające jest to, że jak rozumiem opcja podglądu monitora jest bardzo mało prawdopodobna/niemożliwa jak rozumiem?
Odpowiedz
#16
Kod:
nmap 192.168.0.1/24
Najprościej nmap i potem adres bramy/maska_sieci. Na początek wystarczy.
Będziesz miał listę urządzeń wykrytych w Twojej sieci, otwarte porty, adres fizyczny i logiczny.


Przeskanuj pod kątem malware. 

Można jeszcze wiresharkiem analizować ruch sieciowy - sprawdzić co i jak się komunikuje.
 Gdyby Java miała prawdziwy garbage collector to programy kasowałyby się podczas uruchomienia.

Odpowiedz
#17
Opcja podglądu pulpitu jest jak najbardziej możliwa. Jednak w Twoim przypadku (kiedy z Twoich wypowiedzi można wnioskować, że nie za bardzo masz pojęcie o co pytasz i jak wykonać zaproponowane zadania) jedyną czynnością, która w 100% wyeliminuje Twoje wątpliwości to ponowna instalacja systemu po uprzednim formatowaniu dysku. Dodatkowo zmiana haseł jak to było opisane w w.w. postach na portalach, mailach i routerze (zarówno urządzenia i samego WiFi).
Kto mieczem wojuje - ten często zwycięża.
Odpowiedz
#18
Warto również sprawdzić konfigurację DNS.
Odpowiedz


Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Pomoc ooo 4 1,059 03-08-2015, 14:59
Ostatni post: goniec52
  SMF 2.0.2 XSS POMOC 1964JoJo 5 2,101 07-13-2013, 21:59
Ostatni post: 1964JoJo
  Proszę o pomoc przy Xhydrze. Ar2r 18 3,473 03-26-2013, 22:36
Ostatni post: Drareg

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości
stat4u