• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Охота на хакера

Trixxx

Grey Team
04.04.2020
199
155
BIT
38
Помогите советом, как отловить хакера. Есть локальная сеть, в ней сервер контроля домена. Пользуясь доверенными ему ресурсами, кто то ломанул сервер из локальной сети, зачем то увел в архивы и спрятал часть бухгалтерской информации. Вычислили мак адрес, с которого по логам предположительно действовал неизвестный. Как можно воспользоваться маком и сканером сети, например мы спалили, что наша цель сейчас вышла в сеть, кроме МИТМ атаки, есть какие то мысли? Буду благодарен за интересные предложения/софт.
 

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Помогите советом, как отловить хакера. Есть локальная сеть, в ней сервер контроля домена. Пользуясь доверенными ему ресурсами, кто то ломанул сервер из локальной сети, зачем то увел в архивы и спрятал часть бухгалтерской информации. Вычислили мак адрес, с которого по логам предположительно действовал неизвестный. Как можно воспользоваться маком и сканером сети, например мы спалили, что наша цель сейчас вышла в сеть, кроме МИТМ атаки, есть какие то мысли? Буду благодарен за интересные предложения/софт.
вы хотите узнать кто это или прещимить ему хвост?
 

Kondit

Green Team
05.10.2020
81
15
BIT
0
у вас разве нет базы мак адресов ваших компов в сети? вы выяснили это ваше оборудование или стороннее?
 

tes_la

Green Team
03.04.2016
53
31
BIT
15
Знание mac " с которого по логам предположительно действовал неизвестный " ничего не даёт. Проверяйте тех кто имеет доступ и периметр.
 

Trixxx

Grey Team
04.04.2020
199
155
BIT
38

woolf1514

Green Team
06.03.2017
181
191
BIT
1
А доступы ему уже перекрыли?
Преступнику свойственно возвращаться на место преступления. Оставьте ему ловушку. Например, hta/pdf/doc файл c любопытным названием и сюрпризом внутри вроде обратного вызова с метаданными.
И наверное кто-то постоянно должен "нюхать" вскрытую сеть на наличие нужного мака.
P.S. Если в игру вступил ФСБ, то может быть просто не мешать им?)
 

Trixxx

Grey Team
04.04.2020
199
155
BIT
38
сори за офтоп, но твоя аватарка прям идеально в ритм музыки попала =)) подвис.. =)
Круть)

А доступы ему уже перекрыли?
Преступнику свойственно возвращаться на место преступления. Оставьте ему ловушку. Например, hta/pdf/doc файл c любопытным названием и сюрпризом внутри вроде обратного вызова с метаданными.
И наверное кто-то постоянно должен "нюхать" вскрытую сеть на наличие нужного мака.
P.S. Если в игру вступил ФСБ, то может быть просто не мешать им?)
Если честно не знаю чем история закончилась, но ребята убили много сил для перенастройки сети и развертывания структуры, а вот на счёт хакера хз, преступления кражи данных или средств не зафиксированы, но панику на тот момент вызывало то, что взломаны были и ПК бухгалтерии
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!