Análisis de malware - Inspección de tráfico

Navega tus respuestas
2

Estoy trabajando en un pequeño proyecto. Hay una organización en la que cuenta con 100 sistemas en todo el país. Todo el tráfico de su máquina pasa por un solo proxy supervisado y mantenido por la organización. Proxy está configurado para usar solo los sitios web incluidos en la lista blanca, como www.google.com y muchos otros. (No tengo conocimiento de la configuración del proxy, ¿están utilizando el filtrado basado en contenido o el filtrado basado en URL del sitio web?).

Si una máquina envía tráfico fuera del dominio de la lista blanca, las alertas de proxy y luego necesito analizar manualmente la máquina.

Pregunta:

¿Cómo puedo saber debido a qué aplicación / puerto / proceso de ejecución está ocurriendo el tráfico?

¿Hay alguna otra manera de detener esto? Las herramientas de escaneo de malware no identificaron nada en el sistema.

Si recomiendo que sysadmin instale disconnect, ghostery, blur, donottrackme y adblockplus como ad-dons, ¿la cantidad de informes generados por su proxy se reducirá o no?

¿Alguna otra solución permanente o solución de configuración global?

    
pregunta FrOgY 15.04.2015 - 16:52
fuente

2 respuestas

1

No podrá decirle a la aplicación / puerto / proceso solo en función del tráfico de la red. Para eso, deberá analizar los registros en el punto final.

Los complementos que mencionas para bloquear los anuncios ayudarán a reducir el ruido que estás viendo, ya que imagino que estás viendo una tonelada de tráfico de anuncios aleatorio vinculado a sitios legítimos en la lista blanca en los que los usuarios están navegando. La Internet moderna es muy ruidosa con esas cosas.

Recomiendo recopilar registros de dos lugares:

  • Los firewalls de borde que bloquean todos los HTTP / S, excepto el servidor proxy como origen, de esa manera si una máquina intenta conectarse a un servidor C & C a través de un proceso que no es compatible con el proxy (también conocido como software de eliminación de malware / Se descargará el troyano) se le negará y tendrá visibilidad de él.
  • SysMon en cada punto final con el seguimiento del proceso y el seguimiento de la red habilitados. De esa manera, puede conectarse al Registro de eventos remoto durante una respuesta a un incidente para rastrear qué procesos se comunicaban en qué puertos, etc., o incluso mejor utilizar Syslog o un SIEM para agregarlos a una ubicación central para su revisión.

Deberá aplicar cierta discreción analítica cuando se le avise sobre estas cosas; los sitios de anuncios conocidos y los redireccionadores probablemente acompañarán la navegación típica, SysMon le dirá qué navegador se estaba usando, pero los registros del historial del navegador pueden borrarse (o se usó Incognito), y recuerde que algunos programas maliciosos son compatibles con el proxy.

    
respondido por el armani 15.04.2015 - 17:26
fuente
0
  

¿Cómo puedo saber debido a qué aplicación / puerto / proceso de ejecución está ocurriendo el tráfico?

Ejecute netstat -ABN desde la línea de comando en el punto final. Sin embargo, esta es una instantánea en tiempo real, así que tendrás que ejecutar esto mientras está ocurriendo.

    
respondido por el k1DBLITZ 16.04.2015 - 20:40
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar postMessage para enviar datos al iframe del pirata informático en el ataque CSRF? Qué navegadores no son compatibles con Secreto de reenvío y ECDHE