detección de keylogger por red de escucha

Navega tus respuestas
2

Se sabe que el malware a menudo utiliza keyloggers. Además, algunos virus no son detectados por los antivirus, por lo tanto, algunos virus, especialmente los APT, pueden permanecer en un sistema durante tanto tiempo sin ninguna detección. Lo que creo es que si pudiera descubrir las actividades del keylogger, podría aumentar la posibilidad de detectar virus o incluso APT (mi objetivo real no es APT sino virus).

Quiero un software (o un sistema) que descubra posibles actividades del keylogger al observar el tráfico de la red . ¿Existe tal software? Este software no tiene que funcionar en tiempo real, puede ser una herramienta que realiza un análisis diario o incluso una herramienta de respuesta a incidentes.

    
pregunta smttsp 07.02.2013 - 08:17
fuente

2 respuestas

4

Un keylogger puede enviar los datos que recopila de muchas maneras:

  • Los envió por correo electrónico
  • Cifrelas y envíelas por correo electrónico
  • Suba un archivo a un servidor FTP / SFTP
  • Utilice solicitudes HTTP con parámetros encriptados GET / POST
  • Utilice otros protocolos para enviar los datos: se podrían crear solicitudes de DNS especialmente diseñadas para ocultar los datos ex filtrados en solicitudes de DNS legítimas. También puede usar bits reservados en encabezados de paquetes para ocultar los datos allí.
  • etc

Como puede ver, hay muchas posibilidades de enviar datos y las posibilidades de que una herramienta determinada sea capaz de detectar todas estas posibilidades son bastante bajas. Esto no significa que el uso de una herramienta de este tipo (como Snort) no aumentaría su nivel general de seguridad.

Si tiene un cierto keylogger al que está apuntando (y sabe cómo funciona), se podrían crear reglas de Snort para cumplir su tarea.

    
respondido por el Dinu S 07.02.2013 - 08:55
fuente
1

Todo tipo de herramientas de monitoreo de tráfico hace esto, y de hecho es visto por las grandes empresas como algo esencial para su seguridad, ya que las intrusiones se producirán sin importar cuán sólida sea la seguridad implementada. / p>

Estas herramientas se ejecutan desde el código abierto Snort , que es el IDS / IPS más utilizado en el mundo, a través de dispositivos y Sistemas de todos los principales proveedores.

El término de búsqueda que quizás desee buscar es SIEM - y cubre no solo tratar de detectar ataques, sino también detectando intrusiones a largo plazo a través del monitoreo de canales de comunicación, etc.

    
respondido por el Rory Alsop 07.02.2013 - 08:52
fuente

Lea otras preguntas en las etiquetas

Seguridad de Xbox 360: ¿Por qué debe ser el propietario de los datos para mover el contenido? ¿Es posible saber si una mayor participación de mercado significa más virus?