Hvordan spore malware fra brannmuren din med grunnleggende verktøy

Å kontrollere trafikkoverskriften inn og ut av organisasjonens nettverk har lenge vært ansett som en veldig god måte å yte beskyttelse mot mange typer trusler. Filtrering av utgående trafikk forhindrer ondsinnet aktivitet i å forlate nettverket ditt, for eksempel et botnetmedlem som prøver å ringe hjem for instruksjoner. Her vil vi bruke noen få gratis verktøy for Windows som kan hjelpe deg med å identifisere mulige trusler fanget i nettverkets utgående filtre.

Oppdage en mulig trussel

Når du kontrollerer utgående trafikk, bør du regelmessig sjekke loggene til brannmuren eller ruteren, da disse loggene kan varsle deg om uvanlig trafikk eller ondsinnede mønstre. Uvanlig aktivitet kan vises som gjentatte forsøk på å koble til eksterne adresser via ikke-standard porter eller tilkoblingsforsøk til servere på steder der brukerne dine normalt ikke skulle ha noen grunn til å få tilgang til. La oss for eksempel ta en Windows-maskin som prøver å koble til en IP-adresse i Russland via UDP-port 12000.

Når du har identifisert kildemaskinen (og antar at en fullstendig skanning med et fullt oppdatert antivirus ikke avslører noe), vil vi deretter bruke netstat- kommandoen for å se status for nettverkstilkoblingene til datamaskinen. Bruker du netstat med -? parameter gir deg alle tilgjengelige alternativer for kommandoen. Her er noen av kommandoene som kan være nyttige for vår undersøkelse:

-en Viser alle tilkoblinger og lytteporter.
-b Viser kjørbare programmer som er involvert i å opprette hver tilkobling eller lytteport.
-n Viser adresser og portnumre i numerisk form.
-o Viser eierprosess-ID-en tilknyttet hver tilkobling.
-p protokoll Viser tilkoblinger for den spesifiserte protokollen: TCP, UDP, TCPv6 eller UDPv6.

Merk at selv om du bruker parameteren -b lister den kjørbare som er ansvarlig for en tilkobling, det kan redusere utførelsen av kommandoen, og du kan gå glipp av den spesifikke forbindelsen du leter etter. Å vise adressene og portene i numerisk form hjelper til med lesbarheten av resultatene.

I vårt eksempel ønsker vi bare å se tilkoblinger som bruker UDP-protokollen, så vi vil bruke -p UDP- parameteren i kombinasjon med -a, -o og -n-parameterne. Resultatet skal se slik ut (de virkelige IP-adressene er redaktert):

Figur A

Ved å bruke den resulterende PID, kan vi identifisere prosessen og de tilknyttede programmene ved å bruke Windows 'egen Task Manager:

Figur B

I noen tilfeller er det å kjøre netstat nok til å identifisere prosessen og den kjørbare som er ansvarlig for tilkoblingen. Noen ganger kan resultatene fra netstat være misvisende: i vårt eksempel viser prosessen som er ansvarlig for tilkoblingen explorer.exe, kjørbar for Windows-skallet. Å kjøre den kjørbare gjennom VirusTotal (http://www.virustotal.com) indikerer at filen er ren og sammenligner den med en ren maskin, ser det ut til at den ikke har blitt kompromittert. Noe annet spiller i dette eksemplet.

Gå inn på prosessmonitor

Prosessmonitor (procmon-funnet her: http://technet.microsoft.com/en-us/sysinternals/bb896645) er et verktøy for Windows fra Sysinternals som lar deg se i sanntid alle aktivitetene til filsystemet, register, og prosess / tråd for en maskin. Den har et grafisk grensesnitt - men det kan også kjøres fra kommandolinjen.

Når du har startet procmon.exe, vil den umiddelbart begynne å fange opp hendelser. Du kan lagre disse resultatene i en loggfil for senere undersøkelse hvis du ønsker det. Bare vær oppmerksom på at i noen maskiner kan det hende mange hendelser samtidig, og den resulterende loggen kan være veldig stor etter bare noen få minutter med innsamling av data:

Figur C

Hvis du vil stoppe å fange hendelser, velger du File, Capture Events fra menyen. Vi vet fra resultatene fra netstat at explorer.exe ligger bak tilkoblingsforsøkene. Ved hjelp av prosessmonitor kan det etableres et filter som bare viser aktivitet for explorer.exe. Å høyreklikke på explorer.exe for noen av hendelsene som er registrert, lar deg "inkludere" den. Dette ignorerer alle andre kjørbare filer som er registrert:

Figur D

Du kan også ekskludere den og skjule den fra gjeldende visning. Disse filtrene kan brukes over stort sett hvert stykke data som er fanget. Når vi kommer tilbake til vårt eksempel, kan vi raskt se at tilkoblingsforsøket ble fanget:

Figur E

Klikk for å forstørre

Gjennomgang av operasjonene explorer.exe utført rett før du prøvde tilkoblingen, dukker det opp en uvanlig oppføring:

Figur F

Klikk for å forstørre

Det ser ut til at explorer.exe prøver å lese informasjon i registeret som fører til en fil i papirkurven. Det er ikke uvanlig at malware prøver å skjule sin tilstedeværelse på et system, så vi kan ha funnet en ny mistenkt. Kjører filen over til VirusTotal, bekrefter noen av skannemotorene som brukes, at den er en variant av en eldre trojaner, men allikevel annerledes nok til å slippe unna gjenkjenning fra de nåværende signaturene til den installerte antivirusprogramvaren.

Selv om dette var et raskt eksempel, kan forhåpentligvis verktøyene og trinnene som er beskrevet her være nyttige i å oppdage trusler som ellers kan gå upåaktet hen.

© Copyright 2021 | pepebotifarra.com