Procedure del Tecnico

Introduzione

Il Tecnico deve occuparsi delle regole di infezione per il recupero di informazioni importanti. Di seguito la descrizione di alcune procedure tipiche con il rimando ai capitoli importanti. Si tratta solo di semplici indicazioni. È fondamentale la competenza e la capacità di sfruttare la flessibilità di RCS per adattarlo alle esigenze dell'indagine.

Procedure
Effettuare l'infezione su connessioni HTTP

Per effettuare l'infezione su connessioni HTTP è necessario utilizzare Network Injector:

Passo Azione
1

Nella sezione System, Network Injectors creare le regole di identificazione e infezione per Network Injector Appliance e Tactical Network Injector.

Vedi "Gestione dei Network Injector".

NOTA: non è richiesta l'installazione di alcun agent.

2

Nel caso di utilizzo del Network Injector Appliance, il sistema applica le regole di identificazione sul traffico dati. Una volta trovati i dispositivi target li infetta con le regole di infezione.

Oppure nel caso di utilizzo del Tactical Network Injector si potrà operare sia con identificazione e infezione automatica sia tramite operatore.

Vedi "Tactical Control Center " .

 

Infettare un computer non connesso a internet

Per infettare un computer non connesso a Internet.

Passo Azione
1

Creare una factory disabilitando la sincronizzazione a livello di operation, vedi "Pagina dell'operation".

Oppure creare una factory a livello di target, sempre senza sincronizzazione, vedi "Pagina del target".

2

Compilare la factory selezionando il vettore di installazione adatto alla piattaforma del dispositivo e al metodo di installazione, quindi creare l'agent.

Vedi "Compilazione di una factory" .

3

Installare l'agent presso il dispositivo del target nelle modalità scelte.

Vedi "Elenco dei vettori di installazione" .

4

Dopo il tempo necessario recuperare le evidence prodotte sul dispositivo del target.

5

Importare le evidence dell'agent e analizzarle.

Vedi "Pagina dell'agent" .

 

 

Infettare un computer connesso a Internet

Per infettare un computer connesso a Internet.

Suggerimento: questi passaggi sono fondamentali quando non si conoscono sin dall'inizio le attività del target da registrare, oppure si vuole evitare di registrare una quantità eccessiva di dati.

Passo Azione
1

Creare una factory: il sistema abilita automaticamente la sincronizzazione.

Vedi "Pagina dell'operation", "Pagina del target".

2

Compilare la factory selezionando il vettore di installazione adatto alla piattaforma del dispositivo e al metodo di installazione, quindi creare l'agent.

Vedi "Compilazione di una factory" .

3

Installare l'agent presso il dispositivo del target nelle modalità scelte.

Vedi "Elenco dei vettori di installazione" .

4

Alla prima sincronizzazione l'agent compare nella pagina del target.

Vedi "Pagina del target"

5

Riconfigurare l'agent utilizzando la configurazione base o avanzata. Alla successiva sincronizzazione l'agent applica la nuova configurazione.

Vedi "Configurazione base di una factory o di un agent"

Vedi "Configurazione avanzata di una factory o di un agent" .

 

 

Mantenere aggiornato il software degli agent

Ciclicamente HackigTeam aggiorna il suo software. Per aggiornare agent già installati:

Passo Azione
1
  • Nella sezione Operations, Target aggiornare gli agent. Vedi "Pagina del target"

oppure

  • Nella sezione Operations, Target entrare in un agent e aggiornarlo. Vedi "Pagina dell'agent".