• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Решено Вопрос [Аудит системы Windows]

BitterLemon

BitterLemon

New member
21.06.2019
2
0
Здравствуйте. Хочется услышать компетентное мнение касательно аудита системы и анализа утечек информации
Это своеобразная игра в мафию.

Условия:
- Компьютеры с OS Windows 7/8/10
- Физический доступ ко всем ПК. Белый подход, взламывать ничего не требуется
- Состояние ОС близкое к умолчанию, скорее всего у пользователя имееются права администратора
- Теоретически, на компьютерах может быть уже установлены любые вредноносные программы (А может и нет)
- Теоретически, вредноносное ПО возможно "ждёт, чтобы его обнаружили" и готово принять меры
- Состояние антивирусной защиты - неизвестно

Факт 1. В компании есть утечка информации. Кто сливает - неизвестно. Систем контроля (DLP/etc) нет.
Факт 2. С помощью изучения человеческого фактора - не было выяснено кто может слить данные.
Факт 3. Сотрудники уже знают что подозревают любого, было время замести следы.
Факт 4. Крот может быть беспрецендентно глуп и может спалиться на чем угодно.

Задачи:
- За максимально длительный период работы конкретных компьютеров определить ФАКТ утечки информации. Важна сама доказательная часть, конкретно что утекло - уже не так важно. Важно поймать крота.
Можно идти по пути "ловушки", можно найти факт утечки и убрать крота. Подойдёт любой способ.

Время ограничено - несколько суток на десяток компьютеров

Разное:
- Если сканирование разнообразнейшими средствами анти-вирусной/spy/mal/meterpreter ничего не даст, не будет фактов заражения либо вторжения - откуда брать факты воровства информации?
- В дефолтной ОС через расширенные опции извлечения истории (Thumbs/SystemLog/Temp/LastActivityView) можно найти факт подключения устройств (USB и прочих) - но по факту это уже ничего не даёт. (Или даёт?)
- Можно спарсить с каждого компьютера все логины-пароли, все явки на сайты и прочее - сопоставить, как и куда могли загружать корпоративные файлы
- На активном сетевом оборудовании логов нет

Как можно организовать толковую ловушку с помощью любых средств? Бюджет предпологается обширный. Компьютеры можно модифицировать на своё усмотрение.
Реинстал ОС с внедрением DLP либо любых других средств - самое толковое решение, но это потом. Есть шансы найти кто сливал инфу на дефолтной ОС ?


Буду рад помощи, заранее спасибо!
 
larchik

larchik

Grey Team
07.06.2019
132
273
имхо, шанс найти крота будет на порядок выше, если вы обратитесь за помощью в соответствующие компании, которые занимаются расследованием инцидентов ИБ.

Вообще - очень интересно, отпишитесь пожалуйста о результатах в итоге )
 
BitterLemon

BitterLemon

New member
21.06.2019
2
0
имхо, шанс найти крота будет на порядок выше, если вы обратитесь за помощью в соответствующие компании, которые занимаются расследованием инцидентов ИБ.

Вообще - очень интересно, отпишитесь пожалуйста о результатах в итоге )
Я буду в роли Доктора Хауса, на далекой северной станции, обратиться к компаниям - невозможно в данный момет времени. Собрал "Чемоданчик с софтом". Спрашиваю совета как можно установить факт слития информации, больше советов - больше шансов, лучше практика
 
P

PashaPasha

А что входит в"Чемоданчик с софтом"
Как насчет что стоит начинать с прослушивания траффика...

+ сканер Loki, как по мне довольно таки не плохой инструмент
Это в случае заражения.

Ну а в остальном софт от NirSoft, позволит вытрясти все потрошки из системы.
 
IB Ib

IB Ib

Member
03.07.2019
16
0
Дилетант на дилетанте)))
Во-первых, сливай все логи венды, и анализируй
Во-вторых, поиграй с теневыми копиями, возможно найдешь остатки там
В-третьих, слей логи подлкючаемых усб устройств
Грузись с лайв СД софтин которые занимаются форензикой их превеликое множество, но.....все это не поможет если чувак слил инфу через инеты, я так подозреваю, что там банальный офис без всяких проксей
в-четвертых, мало вводных данных, а именно тип информации которая была слита и ее источник??? если это к примеру из 1С, то нужно смотреть на сервере 1С, в общем добавляй инфу

Здравствуйте. Хочется услышать компетентное мнение касательно аудита системы и анализа утечек информации
Это своеобразная игра в мафию.

Условия:
- Компьютеры с OS Windows 7/8/10
- Физический доступ ко всем ПК. Белый подход, взламывать ничего не требуется
- Состояние ОС близкое к умолчанию, скорее всего у пользователя имееются права администратора
- Теоретически, на компьютерах может быть уже установлены любые вредноносные программы (А может и нет)
- Теоретически, вредноносное ПО возможно "ждёт, чтобы его обнаружили" и готово принять меры
- Состояние антивирусной защиты - неизвестно

Факт 1. В компании есть утечка информации. Кто сливает - неизвестно. Систем контроля (DLP/etc) нет.
Факт 2. С помощью изучения человеческого фактора - не было выяснено кто может слить данные.
Факт 3. Сотрудники уже знают что подозревают любого, было время замести следы.
Факт 4. Крот может быть беспрецендентно глуп и может спалиться на чем угодно.

Задачи:
- За максимально длительный период работы конкретных компьютеров определить ФАКТ утечки информации. Важна сама доказательная часть, конкретно что утекло - уже не так важно. Важно поймать крота.
Можно идти по пути "ловушки", можно найти факт утечки и убрать крота. Подойдёт любой способ.

Время ограничено - несколько суток на десяток компьютеров

Разное:
- Если сканирование разнообразнейшими средствами анти-вирусной/spy/mal/meterpreter ничего не даст, не будет фактов заражения либо вторжения - откуда брать факты воровства информации?
- В дефолтной ОС через расширенные опции извлечения истории (Thumbs/SystemLog/Temp/LastActivityView) можно найти факт подключения устройств (USB и прочих) - но по факту это уже ничего не даёт. (Или даёт?)
- Можно спарсить с каждого компьютера все логины-пароли, все явки на сайты и прочее - сопоставить, как и куда могли загружать корпоративные файлы
- На активном сетевом оборудовании логов нет

Как можно организовать толковую ловушку с помощью любых средств? Бюджет предпологается обширный. Компьютеры можно модифицировать на своё усмотрение.
Реинстал ОС с внедрением DLP либо любых других средств - самое толковое решение, но это потом. Есть шансы найти кто сливал инфу на дефолтной ОС ?


Буду рад помощи, заранее спасибо!
логи с машин тебе нужны для сопоставления векторов атаки и приблизительных дат, чтобы рисовать картинку.
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб