¿Puede un troyano ocultar su actividad de TCPView?

  

No creo que un caballo de Troya se codifique específicamente para ocultarlo   de TCPview (o es TCPview tan popular que esto sucede?) pero   tal vez hay un método para ocultar su actividad desde cualquier programa que intente   para comprobar las conexiones actuales de Internet (incluso las marcas de cable) y qué   Los programas o procesos de Windows (incluso svhost o sistema) están estableciendo   esas conexiones.

     

Si conoce métodos específicos utilizados para ocultarse de TCPview,   mencionarlos?

Un rootkit de nivel de kernel puede ocultarse de cualquier programa de nivel de usuario en el sistema, que incluye TCPview. Esto se debe a que todos los programas de nivel de usuario realizan solicitudes al núcleo para obtener información, como el acceso a las tablas de conexión de red, interfaces y paquetes. El atacante "engancha" las interfaces del kernel para interceptar estas solicitudes, por lo que los programas de nivel de usuario pueden decir " mostrarme todos los paquetes " y recibir todo excepto los paquetes de rootkit.

Aquí hay un buen artículo llamado Cómo contrarrestar los rootkits persistentes del kernel Descubrimiento sistemático de ganchos que describe el método por el cual los rootkits hacen esto de manera bastante concisa. Para citar:

...a rootkit by nature is programmed to hide itself especially from various
security programs including those widely-used system utility programs such
as ps, ls, and netstat. As such for an infected OS kernel, the provided
kernel service (e.g., handling a particular system call) to any request
from these security software is likely manipulated. The manipulation
typically comes from the installation of kernel hooks at strategic
locations somewhere within the corresponding kernel-side execution path
of these security software.

  

La razón por la que quiero saber esto es que no estoy seguro de que usar TCPview o   Wireshark para verificar conexiones inusuales es una prueba a prueba de balas para   confirmar esa actividad

Si cree que un sistema puede verse comprometido, no puede confiar en nada de lo que le dice. Por lo tanto, hay métodos externos de verificación, tales como wireshark en una máquina diferente (la captura a través de un concentrador, un puerto de expansión, lo que sea que tenga) son necesarios para obtener una visión objetiva del tráfico de red.

La combinación de información externa e información también puede ser muy, muy útil. Si ve muchos paquetes desde el control remoto: 3456 para sospechar: 8080, pero su máquina sospechosa dice que no está escuchando 8080, es una buena señal de que tiene un rootkit de núcleo que oculta su uso de la red.

Estoy seguro de que otros podrán especificar exactamente cómo se podría hacer esto, pero me gustaría señalar que siempre debe asumir que puede y se ha hecho . Es probable que no sea probable para la mayoría de las infecciones de troyanos, pero la diligencia debida exige que actúe como si no pudiera confiar en lo que una máquina comprometida le está diciendo.

En la práctica, esto significa que se abrirá un hub de red en algún lugar corriente arriba de la máquina, y monitoreará el tráfico usando eso para ver qué hace su máquina sospechosa, y por qué en general, nuking desde la órbita es la La única manera de estar seguro.

Supongo que depende de la situación. Si tienes una máquina sospechosa en la red de una embajada, probablemente querrás ponerte tu sombrero súper paranoico y usar un puerto de espejo de hub / switch para monitorear el tráfico y minimizar las posibilidades de que te avise de tus adversarios. Para una pequeña empresa o computadoras personales; Asegúrese de echar un vistazo con tcpview y wireshark en la máquina inicialmente para ver si algo salta sobre usted. Incluso entonces, si aún tienes dudas, personalmente me gustaría ver el tráfico del cable, por así decirlo, para ver qué está pasando.

EDIT

Como señala KonradGajewski en los comentarios a continuación, puede usar cualquier número de métodos diferentes para interceptar el tráfico de la máquina, según los detalles de su diseño de red. Esto podría ser tan simple como colocar un concentrador o una computadora portátil entre la máquina y el resto de la red, o mediante el uso de un puerto espejo del conmutador, la supervisión del tráfico inalámbrico, etc.

Es absolutamente posible que alguien esté desarrollando un malware que sea capaz de ocultar paquetes a los sniffers. Como la mayoría de los rastreadores en sistemas Windows dependen de WinPCAP como controlador de captura, sería posible, por ejemplo, manipular los controladores para ocultar paquetes específicos que están pasando el cable.

Es por eso que uso mi computadora portátil como puente para capturar paquetes cuando se trata de sistemas potencialmente comprometidos. Puede hacerlo fácilmente usando el paquete bridge-utils en la mayoría de los sistemas Linux.

Cualquier cosa puede ser manipulada en Windows con ingeniería inversa especializada. Un RAT genérico que oculta el TCP de Wireshark es extremadamente improbable, pero es posible. No solo confíe en su software antivirus (AV) ya que, en mi opinión, son muy poco confiables y no tienen muy buenas técnicas heurísticas.

Podrías escribirte un programa malicioso y subirlo a enlace , y apuesto a que la mayoría de los AVs no detectarán lo que tú ' he escrito Los cambios en el sistema de archivos no son registrados por todos los AV, y sería una tarea inicial que tomaría mucho tiempo, ya que tendría que hacer un hash de los archivos conocidos del sistema.

Si desea verificaciones a prueba de balas para redes, querrá registrar el tráfico en el enrutador, pero asegúrese de que su enrutador no esté comprometido antes de hacer el registro de la red.

Los troyanos básicos a veces se pueden encontrar al monitorear el tráfico de la red o simplemente mirando a los puertos abiertos.

Los troyanos avanzados pueden ocultar su tráfico dentro de otro tráfico, pueden usar esteganografía o simplemente envían sus datos de manera muy rara o solo durante o durante eventos específicos, por lo que podrían ser mucho más difíciles de detectar por un monitor de red. Depende de la cantidad de troyanos específicos que esperaría, es decir, si es un usuario privado o en una empresa relevante para la seguridad o en una embajada, etc.

Como en las otras respuestas escritas, monitoreo en un host posiblemente infectado Puede dar resultados incorrectos. El troyano también podría desactivarse para la hora en que el usuario utiliza una herramienta de monitoreo de red en el mismo host para evitar la detección de sí mismo.