Questa guida spiega come identificare rapidamente un computer compromesso partendo dall’indirizzo IP presente nell’evento.
Ci sono due indirizzi rilevanti nelle Reti Locali:
- MAC a livello 2 non dovrebbe mai cambiare, ad esempio 1A:2B:3C:4D:5E:6F
- IP a livello 3, può cambiare a seconda della configurazione della rete, ad esempio 192.168.1.100
I nostri Honeypot operano a livello OSI Livello 3, quindi non conoscono gli indirizzi MAC.
Recuperare l’indirizzo MAC
Supponiamo che l’IP incriminato nell’evento sia 10.0.0.100
I seguenti comandi funzionano su Windows, Linux e Mac.
ping -c 1 10.0.0.100
arp -a 10.0.0.100
Ora che hai il MAC, cerca l’host associato nel tuo inventario degli asset.
INFO: È fortemente consigliato, e richiesto sia dai Framework di Sicurezza sia dalla legislazione, avere un inventario degli asset che elenchi tutti i dispositivi aziendali. Questo dovrebbe includere il MAC poiché è un identificatore unico.
Se non hai l’Inventario degli Asset
La sezione seguente copre alcuni modi per identificare un host LAN in maniera comprensibile tramite IP o MAC. È divisa per Sistema Operativo poiché i comandi variano.
ATTENZIONE: il successo dei comandi non è garantito. Dipende dalla configurazione dell’host e della rete, ad esempio dalla presenza di risoluzione DNS interna.
Innanzitutto, i primi 3 byte del MAC possono identificare il produttore, aiutando a restringere la ricerca. Si consiglia di usare il servizio MAC Lookup per questo.
Windows
Premi WINDOWS_KEY + R poi digita cmd e premi Enter per aprire il Prompt dei comandi.
Query DNS per un record PTR (inversi).
nslookup 10.0.0.100
Name: john_workstation.corp.local
Address: 10.0.0.100
Recupera la tabella dei nomi NetBIOS dal sistema remoto.
nbtstat -A 10.0.0.100
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
JOHN_WORKSTATION <00> UNIQUE Registered
CORP <00> GROUP Registered
PowerShell – DNS lookup inverso
Resolve-DnsName 10.0.0.100
Name Type TTL Section NameHost
---- ---- --- ------- --------
100.0.0.10.in-addr.arpa PTR 1200 Answer john_workstation.corp.local
Linux
Apri il Terminale ed esegui
Reverse DNS
$ getent hosts 10.0.0.100
10.0.0.100 john_workstation
$ nslookup 10.0.0.100
100.0.0.10.in-addr.arpa name = john_workstation.
$ dig -x 10.0.0.100 +short
john_workstation.
mDNS / Avahi
$ avahi-resolve-address 10.0.0.100
john_workstation.
NetBIOS (per host Windows, se abilitato)
$ nbtscan 10.0.0.100
Doing NBT name scan for addresses from 10.0.0.100
IP address NetBIOS Name Server User MAC address
------------------------------------------------------------------------------
10.0.0.100 JOHN_WORKSTATION <00> UNIQUE 00:11:22:33:44:55
Query delle porte di servizio con netcat, ad esempio 22, 80, 443, 445, 3389, e lettura del banner
$ nc 10.0.0.100 PORT