¿Alguien sabe de un método para hacer huellas digitales en la LAN y descubrir qué tipo de software AV está instalado?
Hay dos formas de detectar esto, Pasivo o Activo.
Esto es a lo que se refería Iszi. Si puede acceder al flujo de datos, puede obtener mucha información. Mediante el análisis de flujo, puede observar las máquinas que realizan conexiones a servidores de actualización conocidos. Así que mire a su alrededor algunos productos AV, obtenga una lista de las direcciones IP desde las que sirven sus actualizaciones y luego filtre en algunos de los puertos de transferencia de datos comunes. Para AV, esto suele ser HTTP, tanto 80 como 443 o FTP.
Si tiene acceso al flujo de datos directamente, ya sea a través de un puerto de toma o de tramo, puede hacer un análisis más profundo. Aquí, realmente puede recorrer el canal de comunicaciones para buscar descargas de paquetes de firmas. Dependiendo del proveedor, puede incluso obtener números exactos de producto y / o versión del UserAgent o nombre de archivo de los paquetes de firmas.
Además, si tiene un IDS / IDP implementado, es probable que pueda crear sus propias firmas para buscar este tipo de comportamiento. O, mejor aún, su proveedor puede incluso proporcionar algunos. Por ejemplo, Sourcefire envía un gran contingente de firmas de "Política" que le permiten buscar infracciones de políticas corporativas, como navegar por sitios web de búsqueda de empleo, realizar búsquedas en Google Images con SafeSearch desactivado o usar Skype. Es posible que pueda encontrar firmas de aplicaciones para AV en un paquete como este.
Esto es lo que realmente desea, iniciar sesión en los sistemas y verificar el inventario de software. Ser capaz de hacer esto depende altamente de su organización y de cuánto control tenga sobre las máquinas cliente. Si tiene acceso administrativo a los sistemas, puede iniciar sesión de forma remota y extraer la información que desee. Nessus, por ejemplo, con los privilegios de administrador realizará un inventario de software completo. O, la misma información se puede recopilar a través de SCCM. Usted puede siempre recurrir a escribir una secuencia de comandos de WMI para sondear de forma remota, pero ahora hay muchas mejores herramientas que no debería tener que hacer.
Si tiene la suerte de contar con un sistema NAC, también puede realizar este sondeo como parte de su evaluación de postura previa a la autenticación. Por supuesto, si tienes la suerte de contar con un NAC completamente funcional, es probable que también tengas la suerte de tener algunos de los otros métodos disponibles.
¿Tiene acceso a estas máquinas desde el punto de vista de un administrador, puede ser difícil decirle al software AV solo en función de un análisis de vulnerabilidad?
Si tiene acceso de administrador en estas máquinas, es posible que pueda obtener WMI o algún otro servicio. El uso de algo como un escaneo con credenciales con Nessus a menudo le dirá qué AV está instalado o se puede usar para obtener una lista de todos los programas instalados y los servicios en ejecución.
Sin acceso solo desde el nivel de red, deberá capturar el tráfico de forma pasiva en busca de firmas de regreso a un servidor de actualización local o a las direcciones IP de un servidor de AV remoto conocido.