¿Puede un troyano ocultar su actividad de TCPView?

14

¿Puede un caballo de Troya ocultar su actividad de TCPView ?

He investigado un poco antes de preguntar, pero aún no puedo encontrar la respuesta para esto.

Sé que un caballo de Troya puede ocultarse del Administrador de tareas de Windows a través de varios métodos. Además, con menos frecuencia, puede ocultar su actividad del comando netstat (en su mayoría, reemplaza el programa con su propia versión) . Supongo que es menos frecuente porque (espero) cualquier protección y alerta antivirus no comprometida por cambios en los archivos del sistema (no estoy seguro de que sea ingenuo). Aunque, si el troyano utiliza un proceso de Windows (no su propio nombre) para conectarse a Internet, muchas veces puede identificar lo que no es una conexión esperada a alguna dirección IP aleatoria.

Muchos sitios web recomiendan usar TCPView para buscar conexiones inusuales, y me pregunto si un troyano puede ocultar su actividad de TCPView. No estoy seguro de si TCPView es solo una interfaz gráfica que utiliza el programa netstat. En ese caso, si hay algún método para ocultarlo de netstat , estará oculto de TCPView, por supuesto.

No creo que un caballo de Troya esté codificado específicamente para ocultarse de TCPView (¿o es TCPView tan popular que esto sucede?), pero tal vez haya un método para ocultar su actividad de cualquier programa que intente verificar el actual Conexiones de Internet (incluso Wireshark ) y para ocultar qué programas o procesos de Windows (incluso svchost o sistema) también están estableciendo esas conexiones.

Si conoce métodos específicos utilizados para ocultarse de TCPView, ¿podría mencionarlos?

Quiero saber esto, porque no estoy seguro de que usar TCPView o Wireshark para buscar conexiones inusuales sea una prueba a prueba de balas para confirmar esa actividad.

    
pregunta JohnSt 19.10.2015 - 08:32
fuente

5 respuestas

12
  

No creo que un caballo de Troya se codifique específicamente para ocultarlo   de TCPview (o es TCPview tan popular que esto sucede?) pero   tal vez hay un método para ocultar su actividad desde cualquier programa que intente   para comprobar las conexiones actuales de Internet (incluso las marcas de cable) y qué   Los programas o procesos de Windows (incluso svhost o sistema) están estableciendo   esas conexiones.

     

Si conoce métodos específicos utilizados para ocultarse de TCPview,   mencionarlos?

Un rootkit de nivel de kernel puede ocultarse de cualquier programa de nivel de usuario en el sistema, que incluye TCPview. Esto se debe a que todos los programas de nivel de usuario realizan solicitudes al núcleo para obtener información, como el acceso a las tablas de conexión de red, interfaces y paquetes. El atacante "engancha" las interfaces del kernel para interceptar estas solicitudes, por lo que los programas de nivel de usuario pueden decir " mostrarme todos los paquetes " y recibir todo excepto los paquetes de rootkit.

Aquí hay un buen artículo llamado Cómo contrarrestar los rootkits persistentes del kernel Descubrimiento sistemático de ganchos que describe el método por el cual los rootkits hacen esto de manera bastante concisa. Para citar:

...a rootkit by nature is programmed to hide itself especially from various
security programs including those widely-used system utility programs such
as ps, ls, and netstat. As such for an infected OS kernel, the provided
kernel service (e.g., handling a particular system call) to any request
from these security software is likely manipulated. The manipulation
typically comes from the installation of kernel hooks at strategic
locations somewhere within the corresponding kernel-side execution path
of these security software.
  

La razón por la que quiero saber esto es que no estoy seguro de que usar TCPview o   Wireshark para verificar conexiones inusuales es una prueba a prueba de balas para   confirmar esa actividad

Si cree que un sistema puede verse comprometido, no puede confiar en nada de lo que le dice. Por lo tanto, hay métodos externos de verificación, tales como wireshark en una máquina diferente (la captura a través de un concentrador, un puerto de expansión, lo que sea que tenga) son necesarios para obtener una visión objetiva del tráfico de red.

La combinación de información externa e información también puede ser muy, muy útil. Si ve muchos paquetes desde el control remoto: 3456 para sospechar: 8080, pero su máquina sospechosa dice que no está escuchando 8080, es una buena señal de que tiene un rootkit de núcleo que oculta su uso de la red.

    
respondido por el gowenfawr 19.10.2015 - 14:20
fuente
6

Estoy seguro de que otros podrán especificar exactamente cómo se podría hacer esto, pero me gustaría señalar que siempre debe asumir que puede y se ha hecho . Es probable que no sea probable para la mayoría de las infecciones de troyanos, pero la diligencia debida exige que actúe como si no pudiera confiar en lo que una máquina comprometida le está diciendo.

En la práctica, esto significa que se abrirá un hub de red en algún lugar corriente arriba de la máquina, y monitoreará el tráfico usando eso para ver qué hace su máquina sospechosa, y por qué en general, nuking desde la órbita es la La única manera de estar seguro.

Supongo que depende de la situación. Si tienes una máquina sospechosa en la red de una embajada, probablemente querrás ponerte tu sombrero súper paranoico y usar un puerto de espejo de hub / switch para monitorear el tráfico y minimizar las posibilidades de que te avise de tus adversarios. Para una pequeña empresa o computadoras personales; Asegúrese de echar un vistazo con tcpview y wireshark en la máquina inicialmente para ver si algo salta sobre usted. Incluso entonces, si aún tienes dudas, personalmente me gustaría ver el tráfico del cable, por así decirlo, para ver qué está pasando.

EDIT

Como señala KonradGajewski en los comentarios a continuación, puede usar cualquier número de métodos diferentes para interceptar el tráfico de la máquina, según los detalles de su diseño de red. Esto podría ser tan simple como colocar un concentrador o una computadora portátil entre la máquina y el resto de la red, o mediante el uso de un puerto espejo del conmutador, la supervisión del tráfico inalámbrico, etc.

    
respondido por el GreatSeaSpider 19.10.2015 - 11:02
fuente
2

Es absolutamente posible que alguien esté desarrollando un malware que sea capaz de ocultar paquetes a los sniffers. Como la mayoría de los rastreadores en sistemas Windows dependen de WinPCAP como controlador de captura, sería posible, por ejemplo, manipular los controladores para ocultar paquetes específicos que están pasando el cable.

Es por eso que uso mi computadora portátil como puente para capturar paquetes cuando se trata de sistemas potencialmente comprometidos. Puede hacerlo fácilmente usando el paquete bridge-utils en la mayoría de los sistemas Linux.

    
respondido por el davidb 19.10.2015 - 12:27
fuente
1

Cualquier cosa puede ser manipulada en Windows con ingeniería inversa especializada. Un RAT genérico que oculta el TCP de Wireshark es extremadamente improbable, pero es posible. No solo confíe en su software antivirus (AV) ya que, en mi opinión, son muy poco confiables y no tienen muy buenas técnicas heurísticas.

Podrías escribirte un programa malicioso y subirlo a enlace , y apuesto a que la mayoría de los AVs no detectarán lo que tú ' he escrito Los cambios en el sistema de archivos no son registrados por todos los AV, y sería una tarea inicial que tomaría mucho tiempo, ya que tendría que hacer un hash de los archivos conocidos del sistema.

Si desea verificaciones a prueba de balas para redes, querrá registrar el tráfico en el enrutador, pero asegúrese de que su enrutador no esté comprometido antes de hacer el registro de la red.

    
respondido por el Paul 19.10.2015 - 12:07
fuente
1

Los troyanos básicos a veces se pueden encontrar al monitorear el tráfico de la red o simplemente mirando a los puertos abiertos.

Los troyanos avanzados pueden ocultar su tráfico dentro de otro tráfico, pueden usar esteganografía o simplemente envían sus datos de manera muy rara o solo durante o durante eventos específicos, por lo que podrían ser mucho más difíciles de detectar por un monitor de red. Depende de la cantidad de troyanos específicos que esperaría, es decir, si es un usuario privado o en una empresa relevante para la seguridad o en una embajada, etc.

Como en las otras respuestas escritas, monitoreo en un host posiblemente infectado Puede dar resultados incorrectos. El troyano también podría desactivarse para la hora en que el usuario utiliza una herramienta de monitoreo de red en el mismo host para evitar la detección de sí mismo.

    
respondido por el jofel 19.10.2015 - 17:35
fuente

Lea otras preguntas en las etiquetas