IT-Rätsel #01

Kennt Ihr diese Rätsel, bei denen man eine Gegebenheit vorgegeben bekommt und man muss anschließend durch geschickte Fragen herausfinden was passiert ist?
Ich mache diese Rätsel selbst sehr gerne und da ich aktuell einen interessante Fall hatte, würde ich euch den mal als Rätsel vorgeben. Ihr dürft dann in den Kommentaren eure Fragen stellen, sofern die Antworten datenschutztechnisch unproblematisch sind, bekommt Ihr die Infos 1 zu 1, ansonsten würde ich die entsprechenden Stellen zensieren.
Der Fall wurde übrigens bereits von mir geschlossen, die lustige E-Mail mit der Einschätzung eines IT-lers des Unternehmens bekommt Ihr, wenn Ihr die Aufgabe löst.

IT-Rätsel #01: Fakt:

Neben meinen 2 IT Jobs, bin ich ab und an auch in externen Firmen, so auch in diesem Fall:

Ich wurde gerufen, weil folgende Gegebenheit stattfand:
Ein Benutzer hat sich gemeldet, weil irgendetwas ein Passwort verlangt hat, folgendes konnte bereits ermittelt werden:
Die Passworteingabe stammt vermutlich von der UAC, die hosts wurde verändert.
Ich wurde dazugerufen um IT-Sicherheitstechnisch aufzudecken was hier passiert ist.
Mögen die Fragen beginnen.

25 Gedanken zu „IT-Rätsel #01

  1. hoohead Beitragsautor

    Eine sehr gute Frage!
    Ich frage den Benutzer und er meint, er hätte selbst weder versucht in dem Augenblick eine Software zu installieren noch auszuführen.
    Soll ich zu dieser Frage noch irgend was machen?

    Antworten
  2. Simon

    Was hat er denn genau in diesem Moment gemacht, als das passiert ist?
    Was genau wollte ausgeführt werden, bzw wofür wollte Windows das Passwort?
    (Steht ja dabei, wer das Programm signiert hat zB)

    Antworten
  3. hoohead Beitragsautor

    Der Benutzer machte zu dem Zeitpunkt gar nichts am PC, sondern saß nur davor und machte etwas anderes.
    Die Meldung kam wohl von alleine.
    Mehr Infos konnte mir der Benutzer nicht geben, falls ich etwas tun soll …

    Antworten
  4. hoohead Beitragsautor

    Es war tatsächlich ein Webbrowser offen und auch eine aktuelle Javaversion installiert. Die weiteren Untersuchungen haben jedoch ergeben, dass ein möglicher Einbruch durch diese Schnittstelle eher unwahrscheinlich ist. Die aufpoppende UAC muss eine andere Ursache sein, zudem ist auch noch nicht geklärt, was es mit der manipulierten hosts aufsich hat.
    Rein vom Bauchgefühl her dachte ich an diesem Zeitpunkt, dass die Ursache nicht durch eine Nutzerhandlung ausgelöst wurde …

    Antworten
  5. hoohead Beitragsautor

    In der hosts war ein Eintrag zu einer öffentlichen IP des Unternehmens, die nicht verwendet wurde und zu einem Gerät, das auch nicht existierte mit FQN zur Domain des Unternehmens.

    140.140.140.140 pc154-test.local.domain
    Der Eintrag war auch der Grund, warum ich gerufen wurde.

    Antworten
  6. hoohead Beitragsautor

    Wir sind jetzt auch an dem Punkt, an dem der IT-ler des Unternehmens seine Einschätzung + Vorgehensweise im Umgang mit der Situation abgegeben hat.
    Falls Infos zu von mir getesteten „Dingen“ gewünscht sind, nur her mit den Fragen.

    Antworten
  7. captainObvious

    Wann wurde die hosts zuletzt Bearbeitet? Würde die IP früher mal verwendet und der Eintrag hat nicht mit der UAC zu tun?!

    Antworten
  8. hoohead Beitragsautor

    DIe hosts wurde vor einem Jahr bearbeitet, die IP wurde früher wahrscheinlich noch nicht verwendet, da die UAC heute angeschlagen ist, davon auszugehen, dass beide Dinge unabhängig zueinander stehen.

    Antworten
  9. captainObvious

    Welcher Prozess verursachte die UAC?
    Welche auffälligen Prozesse waren aktiv / im Autostart?

    Hat der IT-ler an der hosts experimentiert, was weiß er über die IP und den FQDN?
    Gab es vor ca. einem Jahr schon mal Probleme mit Malware?

    Antworten
  10. hoohead Beitragsautor

    Die Durchsicht der Prozesse ergab, dass eine „automatische Softwareverteilung“ aktiv war, in einem Update wurde versucht einen neuen Treiber zu installieren, Aufgrund eines Zertifkatfehlers wurde die UAC ausgelöst.
    Dadurch ist dieses Problem gelöst.
    Als ich den Benutzer frage, ob vor einem Jahr eine Auffälligkeit an dem Laptop war, meinte er, dass er diesen erst vor 6 Monaten erhalten hat.
    Die aktiv laufenden Prozesse wurden zudem überprüft, es war keine Auffälligkeit zu sehen.
    Was noch aussteht ist die hosts, evtl. noch weitere Dinge? und eine Einschätzung.

    Antworten
  11. hoohead Beitragsautor

    Die IP und der FQDN haben wohl beide keine Relevanz, gibt es Dinge die ich prüfen kann, um eine Veränderung der Hosts irgendwie einem vergangenem Nutzer zuzuordnen?

    Antworten
  12. captainObvious

    Was heißt „erhalten“? Wer hat das Gerät vorher benutzt, neu aufgesetzt wurde es scheinbar nicht…
    Evtl. lief das Gerät vor einem Jahr unter oben genannter IP.

    Dann hau die Einschätzung des IT-lers mal raus 😛

    Antworten
  13. hoohead Beitragsautor

    Ich würde gerne noch wissen, ob es irgendwie evtl. eine Möglichkeit gibt herauszufinden, ob die Änderung der hosts einem bestimmten Nutzer zugeordnet werden kann. Von der hosts habe ich den genauen Zeitstempel der letzten Änderung.
    Neu aufgesetzt wurde es tatsächlich nicht.

    Antworten
  14. captainObvious

    Es gibt in den Eigenschaften der Datei ein „Zuletzt gespeichert von“ ?
    Optional kann man auch alle Gelöschten User wiederherstellen.

    Antworten
  15. hoohead Beitragsautor

    Über das noch existierende Benutzerkonto des damaligen Nutzers konnten die Zeitstempel eindeutig zugewiesen werden … der Fall war gelöst (siehe oben).

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA-Bild

*