Spør eksperten!
SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)
EFS er Microsofts kryptert filsystem. Det er der Windows er i stand til å kryptere filer og mapper basert på X.509-sertifikater. Hvis en EFS kryptert fil er kopiert ut av et system eller berøres av en hvilken som helst annen konto det som ble brukt til å kryptere filen, vil dataene være utilgjengelige. Den Backdoor.Tranwos Trojan bruker EFS å gjøre det vanskelig for malware analytikere til å få en kopi av den skadelige filer enn ved å kjøre systemet infisert med malware.
Bedrifter kan identifisere lignende angrep eller malware som utnytter EFS etter skanning systemer for krypterte filer eller ikke-standard EFS bruk. Det finnes flere forskjellige teknikker som oppnår dette, men det egentlig tar å sjekke for å se om hver fil og mappe på et filsystem er kryptert. Hvis en kryptert fil eller mappe er funnet, må krypteringsnøkkelen gjenvinnes eller filene dekryptert. Den kommandolinjeverktøy chiffer kan brukes for begge tilnærmingene, men det fungerer bare hvis du er logget på som brukeren som var logget inn på tidspunktet for smitte. Dette vil gjøre det mye mer sannsynlig at dekrypteringsnøkkel (privat nøkkel) er tilgjengelig for å bli eksportert eller for å dekryptere filene.
Alternativt rogue bruk av EFS kan oppdages med chiffer kommandoen. Begynne med å se for brukere med EFS oppsett og en EFS-spesifikke krypteringsnøkkel (den private nøkkelen oppsett som skal brukes til EFS). Hvis man var ikke med vilje setup for brukeren, er det avgjørende å foreta videre undersøkelser. Anmeldelser