¿Debo preocuparme por los rootkits?

Navega tus respuestas
4

* Nota: Mi pregunta es bastante específica para mi situación. Aunque puede haber una respuesta por ahí, no estoy seguro de cómo buscarla. *

Tengo curiosidad por saber más sobre cómo optimizar la velocidad de Internet para la computadora de mi hogar y, por lo tanto, a menudo verifico las conexiones salientes y ver qué aplicaciones están operando en este momento. Hago esto para asegurarme de que el nuevo software no tenga actualizaciones automáticas o servicios en la nube que no conocía explícitamente. Ex. Skype sigue queriendo iniciar sesión o actualizar, pero simplemente quiero que esté ahí, ya que debe ser un medio para comunicarse con alguien. Pero yo divago.

Esto me lleva a mi pregunta principal. Después de muy poca investigación descubrí sobre los rootkits y existe la posibilidad de "engañar" al sistema con información falsa. Busqué esto cuando noté una discreción entre mi monitor de recursos y la pestaña Rendimiento de los administradores de tareas. Me gustaría señalar aquí que esta es la edición de Win 10 Home. de todos modos, las conexiones que tengo en mi ResMon son tremendamente bajas en comparación con la pestaña Perf. He incluido una foto de estos dos, ya que estaban uno al lado del otro. Captura de pantalla al mismo tiempo.

Entonces, mi pregunta es si podría haber algo malicioso en marcha, o hay una explicación lógica de cómo funciona el sistema.

    
pregunta Nate 13.08.2017 - 09:51
fuente

3 respuestas

5

Rootkits y otras puertas traseras

Respuesta corta:

  • Depende de su personalidad, si prefiere seguridad o comodidad.
  • Si prefieres la comodidad, puedes descargar algunos programas antivirus gratuitos para Windows, o pagar por algunos de ellos, y creer en sus informes. Que no te preocupes.
  • Si te preocupa la seguridad, es una pregunta insignificante si tienes un rootkit / virus específico ejecutándose en tu computadora con Windows, porque es muy probable que tengas al menos 2 o 3 puertas traseras incorporadas, y el largo La solución a plazo saldrá de ciertas empresas, como Microsoft y Google. No debe esperar seguridad ni privacidad con Skype, Windows o marcas de computadoras / teléfonos bien conocidas.

Respuesta larga:

  • No sé en esta situación específica, si tiene Computrace, pero escuché, que en las máquinas Win sigue llamando constantemente a los servidores de la compañía, lo que puede ser la razón del tráfico de la red. Busque rpcnet.exe y similares. No sé si realmente funciona bloquear el computrace en Win más. Depende de tu situación. Computrace es prácticamente un spyware / backdoor de BIOS integrado para la mayoría de las computadoras modernas que pueden monitorear y tomar control de nuestro dispositivo, como limpiar todo el disco, etc. Debería sospechar esto especialmente si compró un dispositivo usado.
  • La próxima vez que diría firmware spyware / backdoors, también son programas oficiales que controlan su máquina, como controladores de audio, aplicaciones de soporte y programas similares de software preinstalados y necesarios para el correcto funcionamiento.
  • También puede ser Skype, intente desinstalarlo y causará menos fallas, retrasos y probablemente también tráfico de red. A veces también actúa como un spyware.
  • El tráfico mínimo es normal cuando Firefox se está ejecutando. Si instaló otras aplicaciones, también pueden llamar a los servidores de vez en cuando.
  • Si no tiene copias de seguridad, hágalo ahora, haga una reinstalación, realice una comprobación de virus en el sistema nuevo y sus archivos guardados, y comience todo nuevo con nuevas contraseñas. Esto es lo más seguro que puedes hacer en Windows.

Tip/Solution:

La mayoría de estas cosas se pueden resolver mediante el uso de Linux, y hay muchas más distribuciones fáciles de usar en 2017.

  • No tiene que usar Skype, hay programas de chat seguros de código abierto, multiplataforma / protocolo.
  • Linux es menos popular y más difícil de atacar por virus.
  • Es un código abierto, por lo que es más difícil implementar puertas traseras, a diferencia de Microsoft.
  • Linux tiene firmwares de código abierto, por lo tanto, los spywares preinstalados se eliminan cuando borras la unidad y no son necesarios para controlar tu dispositivo.
  • Incluso computrace no parece funcionar con Linux. No puede borrarlo fácilmente del BIOS, pero será incapaz de ejecutarse.
  • Hay BIOS de código abierto fuera del hardware limitado, pero por lo general necesita conocimientos de nivel de hardware.

No dudes en preguntar.

    
respondido por el TriloByte 13.08.2017 - 11:10
fuente
2

Hay varias buenas explicaciones que otros mencionaron.

  • Rootkit
  • Puerta trasera en el sistema operativo
  • La discrepancia entre las unidades de medida (1 Mbs no es lo mismo que 1 MB / s, 1 MB / s es 8 Mbs)
  • Es posible que no veas el tráfico de otros usuarios (¿estás ejecutando como Administrador?)
  • Lectura promedio frente a lectura instantánea

Sin embargo, también hay otra posibilidad a la que apostaré en su caso particular:

  • tráfico no TCP / IP

Como prueba de concepto, realicé una inundación de ping desde una máquina separada a mi máquina con Windows. En Windows vi ~ 50 Mbs de entrada en la interfaz de red y solo 0.1 Mbs en el nivel de la aplicación. Al parecer, la lista de aplicaciones muestra solo las estadísticas TCP / UDP. Resulta que Ping es ICMP, pero también hay docenas de otros protocolos comunes (para nombrar un par de GRE, AH, L2TP, etc.).

Si el tráfico que está viendo es malicioso o no necesita más investigación. La forma en que realmente llegarás al fondo es con wireshark. Si captura el tráfico durante un período de tiempo específico, verá exactamente qué protocolos son responsables de ese ancho de banda, y como beneficio adicional descubrirá qué puntos finales de IP están involucrados.

    
respondido por el user3280964 14.08.2017 - 22:14
fuente
1

Las velocidades de transferencia de datos (a la izquierda de su foto) son por períodos muy cortos de tiempo y son difíciles de reconciliar con el "número de bytes transferidos" (a la derecha).

Lo que tienes es la primera señal de que algo no está bien. Todavía no es una pistola humeante, pero probablemente sea algo para comenzar a verificar, para ver si algo está mal; Y si lo es, lo que es. Podría ser rootkit o algo más también.

Si bien hay muchos enfoques para investigar, ya que esto comienza con el tráfico de la red, debe intentar capturar el tráfico de la red, preferiblemente utilizando otro dispositivo "menos confiable". Use una distribución como Security Onion para instalar rápidamente un sistema de monitoreo y observar.

Hay otros pasos de menor barrera que podría tomar, incluido el chequeo de malware con algo como MalwareBytes . No se garantiza totalmente que se detecte cada vez, pero es un punto de partida.

Editar: Se corrigió el enlace a Security Onion.

    
respondido por el Sas3 13.08.2017 - 10:46
fuente

Lea otras preguntas en las etiquetas

Reutilizando el estado HMAC para múltiples mensajes Usar HTTP POST para consultas de Búsqueda de Google