Sådan spores malware fra din firewall med grundlæggende værktøjer

At kontrollere trafikoverskridelsen ind og ud af din organisations netværk har længe været betragtet som en meget god måde at yde beskyttelse mod mange typer trusler. Filtrering af udgående trafik forhindrer ondsindet aktivitet i at forlade dit netværk, f.eks. Et botnet-medlem, der forsøger at ringe hjem for instruktioner. Her vil vi bruge et par gratis værktøjer til Windows, der kan hjælpe med at identificere mulige trusler fanget i dit netværks udgående filtre.

Opdage en mulig trussel

Når du kontrollerer din udgående trafik, skal du regelmæssigt kontrollere logfilerne i din firewall eller router, da disse logfiler kan advare dig om enhver usædvanlig trafik eller ondsindede mønstre. Usædvanlig aktivitet kan vises som gentagne forsøg på at oprette forbindelse til eksterne adresser via ikke-standardporte eller forbindelsesforsøg til servere på steder, hvor dine brugere normalt ikke skulle have nogen grund til at få adgang til. Lad os f.eks. Tage en Windows-maskine, der forsøger at oprette forbindelse til en IP-adresse i Rusland via UDP-port 12000.

Når du har identificeret kildemaskinen (og antager, at en fuld scanning med en fuldt opdateret antivirus ikke afslører noget), bruger vi derefter netstat- kommandoen til at se status for netværksforbindelserne til computeren. Brug af netstat med -? parameter giver dig alle de tilgængelige indstillinger for kommandoen. Her er nogle af de kommandoer, der kan være nyttige til vores undersøgelse:

-en Viser alle forbindelser og lytteporte.
-b Viser de (n) eksekverbare (r), der er involveret i oprettelsen af ​​hver forbindelse eller lytteport.
-n Viser adresser og portnumre i numerisk form.
-o Viser ejerproces-id'et, der er knyttet til hver forbindelse.
-p-protokol Viser forbindelser til den specificerede protokol: TCP, UDP, TCPv6 eller UDPv6.

Bemærk, at selvom brug af parameteren -b viser en eksekverbar, der er ansvarlig for en forbindelse, kan det bremse udførelsen af ​​kommandoen, og du kan gå glip af den specifikke forbindelse, du leder efter. Visning af adresser og porte i numerisk form hjælper med læsbarheden af ​​resultaterne.

I vores eksempel vil vi gerne se kun forbindelser, der bruger UDP-protokollen, så vi vil bruge -p UDP- parameteren i kombination med parametrene -a, -o og -n. Resultatet skal se sådan ud (de rigtige IP-adresser er blevet redakteret):

Figur A

Ved hjælp af den resulterende PID kan vi identificere processen og de tilknyttede programmer ved hjælp af Windows 'egen Task Manager:

Figur B

I nogle tilfælde er det at køre netstat nok til at identificere processen og den eksekverbare, der er ansvarlig for forbindelsen. Nogle gange kan resultaterne af netstat være vildledende: i vores eksempel viser processen, der er ansvarlig for forbindelsen, explorer.exe, eksekverbar af Windows-shell. At køre eksekverbar via VirusTotal (http://www.virustotal.com) indikerer, at filen er ren og sammenligner den med en ren maskine, det ser ud til, at den ikke er kompromitteret. Noget andet spiller i dette eksempel.

Gå ind i Process monitor

Processmonitor (procmon-fundet her: http://technet.microsoft.com/en-us/sysinternals/bb896645) er et værktøj til Windows fra Sysinternals, der giver dig mulighed for i realtid at se alle filsystemets aktiviteter, registreringsdatabase og proces / tråd til en maskine. Det har en grafisk grænseflade - men det kan også køres fra kommandolinjen.

Når du starter procmon.exe, begynder det straks at fange begivenheder. Du kan gemme disse resultater i en logfil til senere undersøgelse, hvis du ønsker det. Bare vær opmærksom på, at der i nogle maskiner kan ske en masse begivenheder samtidig, og den resulterende log kan være meget stor efter blot et par minutters indsamling af data:

Fig

For at stoppe med at fange begivenheder, vælg Filer, Optag begivenheder i menuen. Vi ved fra resultaterne af netstat, at explorer.exe står bag forbindelsesforsøgene. Ved hjælp af procesmonitor kan der oprettes et filter, der kun viser aktivitet for explorer.exe. Højreklik på explorer.exe for en af ​​de registrerede begivenheder giver dig mulighed for at "inkludere" det. Dette ignorerer alle de andre eksekverbare filer, der er optaget:

Figur D

Du kan også ekskludere det og skjule det fra den aktuelle visning. Disse filtre kan påføres stort set hvert stykke data, der er fanget. Når vi vender tilbage til vores eksempel, kan vi hurtigt se, at forbindelsesforsøget blev fanget:

Figur E

Klik for at forstørre

Gennemgang af operationerne explorer.exe, der blev udført lige inden forbindelsens forsøg, vises en usædvanlig post:

Figur F

Klik for at forstørre

Det ser ud til, at explorer.exe forsøger at læse oplysninger i registreringsdatabasen, der fører til en fil i papirkurven. Det er ikke usædvanligt, at malware forsøger at skjule sin tilstedeværelse på et system, så vi har muligvis fundet en ny mistænkt. At køre filen over til VirusTotal, bekræfter et par af de anvendte scanningsmotorer, at det er en variant af en ældre trojan, men alligevel forskellige nok til at undslippe detektion fra de aktuelle signaturer af den installerede antivirus-software.

Selvom dette var et hurtigt eksempel, kan forhåbentlig værktøjer og trin, der er beskrevet her, være nyttige til at opdage trusler, der ellers kan gå upåagtet hen.

© Copyright 2020 | mobilegn.com