Cómo detectar dispositivos infectados en su red local [cerrado]

Question

Cómo detectar dispositivos infectados en su red local [cerrado]

#1 de mcgyver5 (4 votos)

3

Hoy leí sobre un investigador que compró una grabadora de TV digital y la conectó a Internet - probablemente esté usando el reenvío de puertos para permitir que los atacantes se conecten a la grabadora. Después de un tiempo, alguien pudo conectarse con Telnet y cargar software para extraer bitcoins.

Si esto es posible, se podría instalar otro malware que intente infectar otras computadoras en la red. Debido a que estos dispositivos no están monitoreados, son ideales para ocultarse.

Entonces, su computadora Windows promedio está infectada con malware, encuentra una grabadora de televisión en su red, la infecta. La PC con Windows se limpia de su malware, pero la grabadora permanece sin ser detectada, y después de un tiempo infecta otra computadora, etc ...

¿Cómo puedo detectar dispositivos infectados en mi red local? ¿Qué métodos existen para evitar que esto suceda?

malware rootkits network-scanners

pregunta SPRBRN 06.05.2014 - 12:54

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware rootkits network-scanners

Documento de protocolo SSL "Investigaciones sobre SSL" ¿Cómo arreglar este protocolo criptográfico roto?

score 4 · Accepted Answer

La mayoría del malware en nuestra red es detectado por el tráfico impar que genera.
Por ejemplo, cuando un dispositivo en la red se está comunicando con una red de control y comando de bot conocida, lo sabemos inmediatamente. Los dispositivos infectados también intentarán comunicarse de forma inesperada con otros dispositivos en la red y esto también se detectará. Implementamos (y ajustamos) reglas sobre qué tráfico genera alertas. Una de estas reglas es el intento de comunicación con direcciones registradas en los últimos 14 días.

Por supuesto, es una carrera de armamentos ya que el malware encuentra formas interesantes de evadir tal detección.

La segunda forma más común es el análisis antivirus que hacemos. El nuevo malware no tendrá una firma, pero eventualmente se conocen las firmas.

Sé que estás hablando de una red doméstica, pero se aplica la misma técnica. Tendría algo como Snort instalado y escribir firmas sobre qué tráfico se permite entre su máquina con Windows y el DVR descrito en el artículo. Se espera que la comunicación de malware active la alerta en Snort para que pueda detectar la infección.