Există o modalitate (legală) de a enumera evenimentele/acțiunile anterioare ale unui anumit program malware *.exe (PUP-Proxygate, eventual un troian)?

Există un folder cu fișiere *.exe suspecte pe un PC Win 10 și există protocoale (externe) de actiuni ilegale provenind de la acel PC la un anumit moment din trecut. Prima acțiune suspectă a fost traficul de rețea către a dolină Adresă IP tipică pentru Hupigon troian, al doilea (câteva zile mai târziu) a postat o încercare de înșelătorie pe o platformă de comerț pe internet.

PC-ul cu pricina a fost oprit pur și simplu trăgând cablul de alimentare la scurt timp după ce a fost observată a doua acțiune.

La scurt timp după aceea, PC-ul a fost confiscat de către autoritățile locale (care fuseseră sesizate despre a doua acțiune de către o potențială victimă a înșelătoriei).

A imagine bootabilă Există un computer care a fost scos din unitatea C: după oprirea tare.Imaginea a fost deja bootată pe un computer similar. O scanare Trendmicro AV și verificarea ulterioară Virustotal a dezvăluit (numai) următoarele.

Rezultatul scanării Trendmicro AV:

Dosarul „Proxygate” cu fișiere executabile:

Verificare Virustotal

Ce este PUP-Proxygate („Program potențial nedorit”)

Cum m-am infectat cu adware-ul ProxyGate

Arhiva Internet http://proxygate.net

Cum să ștergeți ProxyGate

De asemenea, am efectuat o scanare completă a sistemului a imaginii unității de sistem a PC-ului în cauză, folosind Autopsie/Trutul detectivului. Cu toate acestea, nu am experiență cu analize suplimentare folosind Autopsie și aș avea nevoie de asistență de unde să încep:

Am urmatoarele lista de ID-uri de eveniment că, potrivit unor companii de securitate AV, ar trebui verificat în Vizualizatorul de evenimente sub evenimentele „Securitate”:

1006, 1007, 1125, 4624, 4625, 4634, 4648, 4670, 4672, 4672, 4688, 4704, 4720, 4722, 4725, 4726, 4728, 4731, 4732, 4733, 4735, 4740, 4756, 4765, 4766, 4767, 4776, 4781, 4782, 4793, 5376, 5377

Există vreo altă modalitate de a căuta dacă vreunul dintre fișierele exe suspecte a fost activ în vreun fel în acel moment și, dacă da, ce a făcut (de exemplu, deschiderea fișierelor, accesarea adreselor de internet etc.)?

Alternativ, există vreo modalitate de a vedea orice acțiune a oricărui program la momentele specifice în cauză (în afară de căutarea în Vizualizatorul de evenimente)?

Dacă trebuie să întrebi.. atunci probabil că nu va fi suficient pentru a răspunde la întrebările interesante:

1. sistemele suplimentare sunt compromise?
2. cum și când a făcut original s-a întâmplat un compromis, înainte de evenimentul special care v-a ridicat suspiciunile?

Cu siguranță există modalități de a configura sistemele astfel încât să transmită o cantitate suficientă de evenimente relevante într-o locație sigură (astfel încât jurnalele să nu poată fi modificate retroactiv), implicând de obicei ceva de genul sysmon.

Dacă nu ai avut asta la momentul suspectat, mai există o șansă să existe niste cantitatea de dovezi utile despre sistemul afectat în sine. În funcție de mediul dvs. și de aptitudinile și intențiile părții rău intenționate, cel mai bun pariu poate fi unul dintre

• oprirea mașinii pentru a preveni distrugerea probelor sau
• preveniți oprirea mașinii pentru a preveni distrugerea dovezilor.

O decizie grea cel mai bine luată de a expert criminalist. Unul pe care poate doriți să îl contractați oricum, pentru că pe măsură ce descoperiți mai multe detalii despre acest incident, probabil că necesită proceduri sau abilități cu care este posibil să nu fii obișnuit.