Dva incidenty GOPAS: | | Ing. Ondřej Ševeček | GOPAS a.s. | MCSM:Directory2012 | MCM:Directory2008 | MVP:Enterprise Security | CEH: Certified Ethical Hacker | CHFI: Computer Hacking Forensic Investigator | CISA | CISM | | |
Dozvíte se Jak i malá chyba obsluhy může způsobit dalekosáhlé problémy Jak je lidská chyba silnější důkaz než kdovíjaké technologické znalosti
Případ první střední business vědom si hodnoty svých informací velký důraz na bezpečnost separace admin rolí! znenadání kompromitace domain admin účtu
Zadání pro vyšetřovatele jak se to mohlo stát? co se vlastně stalo? co všechno bylo kompromitováno? můžeme se ještě soudit?
Krok 1 vypnout podezřelá DC imidž virtualizace vyšetřování
První zjištění byl to vůl CPU 100% backdoor.exe žádný rootkit skrytý AD účet přibližný čas útoku z časových razítek AD objektů a souborů -46 dnů
Krok 2 máme logy? světe div se, máme!
Druhé zjištění účet domain admina, který to provedl doménová stanice útočníka pravděpodobná identita útočníka výpověď -45 dnů počítač dávno reimidžován
Krok 3 přesto zabavit stroj, vypnout, imidž průzkum imidže dotazování na běžnou admin praxi zpětně potvrzení v DC logu
Pravděpodobný průběh -48 dnů kancelářský zaměstnanec si volá support stanice support je osoba, která používá i domain admin účet ověřeno, že admin se přihlásil pouze omezeným účtem -46 dnů na stanici poprvé "jen tak" použit domain admin účet a napadena síť -45 dnů výpověď na vlastní žádost, eskort z fyzického perimetru -3 dnů backdoor zešílel, 100% CPU na DC si prostředí už všimlo
Ponaučení na různých účtech různá hesla!
Závěr nezjištěny žádné krádeže dat ani trvalá poškození nezjištěny žádné další stopy aktivity kromě samostatného běhu backdooru reimidžovaná stanice nepoužitelná jako stopa nesouditelné po vzájemné domluvě odebrány dva měsíce odstupného z čehož se jen malinko ukouslo za dva dny práce vyšetřovatele :-)
Případ druhý probíhající proces daňových úniků obžalovaný se hájí ztrátou dokumentů dokumenty z doby před šesti lety jakoby náhodou nalezeny
Zadání pro vyšetřovatele potvrdit nebo vyvrátit, že obsah USB flash disku vznikl/měnil se v předmětné době
Krok 1 imidž zkoumání časových razítek NTFS, modifikace souborů, vnitřní razítka Word, PDF
Nálezy NTFS disk hlaďoučký jako dětská prdelka 32GB (USB 3.0) 2x Word.DOCX 1x PDF všechna časová razítka štimují verze Wordu sedí
Řešení USB GB před šesti roky?
Ponaučení zločinci se vždycky sami prozradí
Děkuji za pozornost! CHFI - Computer Hacking Forensic Investigator GOC171 - Windows Security Internals