Регистрация Войти
Рейтинг:0
avatar Server

Существует ли (криминалистический) способ перечислить прошлые события/действия определенной вредоносной программы *.exe (PUP-Proxygate, возможно, троян)?

флаг jp
David.P

На ПК с Win 10 есть папка с подозрительными файлами *.exe, и есть (внешние) протоколы потенциально противоправные действия поступающие с этого ПК в определенное время в прошлом. Первым подозрительным действием был сетевой трафик на воронка IP-адрес типичный для Хупигон троян, второй (несколько дней спустя) публиковал попытку мошенничества на платформе интернет-торговли.

Рассматриваемый ПК был выключен просто потянув за кабель питания вскоре после того, как было замечено второе действие.

Вскоре после этого ПК был схваченный местными властями (уведомленными о втором действии потенциальной жертвы аферы).

А загрузочный образ ПК существует, который был извлечен из диска C: после жесткого выключения.Образ уже был загружен на подобный ПК. Сканирование Trendmicro AV и последующая проверка Virustotal выявили (Только) последующий.

Результат антивирусного сканирования Trendmicro: Результат антивирусного сканирования Trendmicro

Папка "Proxygate" с исполняемыми файлами: Папка Proxygate с исполняемыми файлами

Проверка на вирустот

Что ПНП-проксигейт («Потенциально нежелательная программа»)

Как я заразился рекламным ПО ProxyGate

Интернет-архив http://proxygate.net

Как удалить ProxyGate

Кроме того, я выполнил полное сканирование системы образа системного диска рассматриваемого ПК, используя Вскрытие/Набор сыщика. Однако у меня нет опыта дальнейшего анализа с использованием Autopsy, и мне потребуется помощь, с чего начать: Вскрытие/Результат сканирования набора сыщиков

у меня есть следующее список идентификаторов событий что, по мнению некоторых компаний, занимающихся безопасностью AV, следует проверять в средстве просмотра событий в разделе «Безопасность» события:

1006, 1007, 1125, 4624, 4625, 4634, 4648, 4670, 4672, 4672, 4688, 4704, 4720, 4722, 4725, 4726, 4728, 4731, 4732, 4733, 4735, 4740, 4756, 4765, 4766, 4767, 4776, 4781, 4782, 4793, 5376, 5377

Есть ли другой способ узнать, был ли какой-либо из подозрительных exe-файлов каким-либо образом активен в то время, и если да, то что он делал (например, открывал файлы, обращался к интернет-адресам и т. д.)?

В качестве альтернативы, есть ли способ увидеть какие-либо действия любой программы в определенное время (кроме поиска в средстве просмотра событий)?

584
1 + 2
Tilman Schmidt avatar
флаг bd
Tilman Schmidt
@anx Вы должны ввести это как ответ, а не как комментарий.
0
Ответить
joeqwerty avatar
флаг cv
joeqwerty
Как гипотетический вопрос, это нормально. Если вы стали жертвой взлома, программы-вымогателя и т. д., обратитесь в местный правоохранительный орган, свяжитесь со своей страховой компанией и не предпринимайте никаких действий, которые могут уничтожить улики.Отключитесь от Интернета и обратитесь за советом к опытным в этом людям. Есть множество компаний, которые специализируются в этой области.
2
Ответить
Рейтинг:1
anx avatar Server
флаг fr
anx

Если вам нужно спросить .. тогда наверное не хватит за ответы на интересные вопросы:

  1. скомпрометированы ли дополнительные системы?
  2. как и когда оригинальный компромисс произошел до конкретного события, вызвавшего ваши подозрения?

Безусловно, существуют способы настроить системы таким образом, чтобы они передавали достаточное количество соответствующих событий в безопасное место (таким образом, что журналы не могли быть изменены задним числом), обычно с использованием чего-то вроде сисмон.

Если у вас не было этого в предполагаемое время, все еще есть шанс. некоторый количество полезных свидетельств о самой затронутой системе. В зависимости от вашей среды и навыков и намерений злоумышленника, ваш лучший выбор может быть одним из

  • выключение машины, чтобы предотвратить уничтожение улик или же
  • предотвратить отключение машины, чтобы предотвратить уничтожение улик.

Трудное решение, которое лучше всего принять судебно-медицинский эксперт. Тот, который вы, возможно, захотите заключить в любом случае, потому что, когда вы узнаете больше подробностей об этом инциденте, это, вероятно, требует процедур или навыков, к которым вы, возможно, не привыкли.

0 + 4
флаг jp
David.P
Спасибо. Насколько мне известно, другие системы не были скомпрометированы. Неизвестно, как и когда произошел первоначальный компромисс. Это то, что я пытаюсь выяснить. Я добавил больше деталей к вопросу.
0
Ответить
флаг jp
David.P
[@]anx и [@]все, я добавил всю имеющуюся у меня информацию по делу.
0
Ответить
anx avatar
флаг fr
anx
Хотя детали немного интересны... как уже намекнул joeqwerty, для более практических вопросов о ситуациях, когда слишком поздно применять лучшие практики системного администратора, не так много [этого сайта] (https://serverfault.com/help/ по теме) может помочь вам помимо того, что уже упомянуто в вашем [каноническом вопросе] (https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server/218019 #218019)
0
Ответить
флаг jp
David.P
Я не пытаюсь спасти что-то там, где уже слишком поздно, а скорее пытаюсь понять, как вредоносное ПО могло проникнуть на этот компьютер, и действительно ли это относительно безобидное рекламное ПО спровоцировало эти потенциально преступные действия.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.