Detectar troyanos / keylogger / virus en una red de negocios

Navega tus respuestas
3

En una red de computadoras de negocios con alrededor de 50 computadoras, hay una computadora infectada.

Necesitamos encontrar eso y eliminarlo.

He estado ejecutando el software a continuación en las computadoras sospechosas, pero no encontré nada:

  • Kaspersky
  • MarlwareBytes
  • cazador de espías
  • Spybot
  • Avast!

¿Este software es lo suficientemente bueno o necesito buscar otro?

Ahora estoy pensando en ejecutar un analizador de red.

¿Alguien tiene una idea o enfoque diferente?

    
pregunta Bruno Fontainha 16.12.2015 - 12:07
fuente

3 respuestas

3

Usted casi no proporciona información: apenas puedo deducir que está ejecutando Windows desde el software que utilizó.

La pregunta clave es, ¿cómo sabe que una computadora está infectada? Esto probablemente le dará la clave sobre cómo averiguar cuál la computadora es.

A falta de información, solo enumeraré algunas de las posibilidades casi infinitas:

  • se accede a algunos archivos y se dañan / eliminan = > puede consultar los registros de acceso cuando estén disponibles, o verifique las conexiones de red utilizando, si no hay otra cosa, NETSTAT -na en un shell. La computadora víctima mostrará conexiones desde la IP de ataque.
  • la información es robada. Si sabe esto, es porque encontró la información donde no debería haber estado. Intenta difundir información falsa, diferente de PC a PC. Si luego descubre que se ha accedido a su sitio web corporativo utilizando passwordAssignedToEmiliosComputer , sabrá que la PC de Emilio es la que debe investigar.
  • las configuraciones o las imágenes en ejecución de las PC son diferentes. Puede verificar el primero utilizando REGEDIT, incluso si lleva mucho tiempo, y el último ejecutando el administrador de tareas.
  • Si lo que sea que haga el virus implica un lote de actividad en la red, quizás pueda verlo con un analizador de red, o ejecutando un diagnóstico en los conmutadores, o ... al menos, mirando sus luces parpadeantes (tuve que hacer esto una o dos veces).
  • Numere las PC del 1 al 50. Desconecte todas las computadoras pares y vea si cesan los síntomas que observó. Si no lo hacen, intente desconectar las computadoras con números impares. Si ahora lo hacen , te quedan 25 PC para examinar. Numéralos del 1 al 25 y repítelos. Te quedan 12 o 13 PC para examinar. Luego 6 o 7. Luego 3 o 4. Luego 1 o 2.
respondido por el LSerni 16.12.2015 - 13:45
fuente
0

Intentaría lo siguiente:

  • Comprobación de proxy, firewall u otros registros de navegación para IP maliciosas o dominios
  • Comprobación de registros DNS para dominios maliciosos
  • Uso de herramientas de búsqueda IOC
  • Ejecutar un analizador de red y luego buscar IPs o dominios maliciosos navegados
  • Ejecutando un IDS con firmas
  • Ejecute Process Explorer en cada máquina y busque procesos maliciosos
  • Recuperar los últimos comandos ejecutados de cada máquina (archivos de Windows Prefetch)
  • Recuperar procesos en ejecución de cada máquina con algún tipo de secuencia de comandos (WMI, Powershell, psexec ...)

¿Cómo sabes que estás infectado? Empieza por ahí y realiza un análisis forense.

    
respondido por el Eloy Roldán Paredes 16.12.2015 - 13:43
fuente
0

También usaría herramientas anti-rootkit. Por lo general, estas son herramientas específicas únicas y varían en su facilidad de uso .

Muchas soluciones de AV no buscan rootkits o no son capaces. Este enlace está un poco desactualizado, pero debería comenzar: enlace

Si falla todo esto, usaría Wirehark en cualquier máquina en red y observaría el paquete de datos (destino y origen), esto debería permitirle rastrear la máquina ofensiva.

    
respondido por el aj- 16.12.2015 - 15:08
fuente

Lea otras preguntas en las etiquetas

¿Es peligroso programar un deamon llamado usuario que envía contraseñas a través de https? Preguntas con respecto a las CRL (producidas y no modificadas)