Si bloqueo la aplicación A.exe en mi firewall, pero genera dinámicamente B.exe y lo ejecuta automáticamente. ¿Se bloquearía también B.exe en mi firewall?
Depende de la metodología que elija para permitir el acceso. Puede elegir permitir el acceso a las aplicaciones que desee y crear una "limpieza" o "bloquear todas las demás reglas" en donde además de lo que ha permitido explícitamente todo lo demás, estaré bloqueado. Entonces, en su caso, dado que no ha permitido que A.exe o B.exe no tengan acceso a la red. Puede bloquearlo aún más usando sumas de comprobación (si su firewall lo permite). Lo que significa que puede indicar que Firefox.exe con suma de comprobación xxxxx tenga acceso al puerto 80,443 de salida. Sé que Symantec Endpoint Protection tiene esta característica. Puede buscar esto en su firewall. Esto es útil ya que el programa malicioso puede generar un proceso con un nombre de archivo ejecutable en la lista blanca.
Todo depende de la tecnología de firewall que esté utilizando y de cómo se maneje realmente el "bloqueo". Sin embargo, en general, probablemente no. Si está tratando con una aplicación que es lo suficientemente sofisticada como para generar dinámicamente otra aplicación para tratar de sortear los bloques de firewall, probablemente también realice otros cambios dinámicos diseñados para evitar / omitir los enfoques de filtrado comunes.
En estos días, el término firewall tiende a significar muchas cosas diferentes para diferentes personas y existe una amplia gama de tecnologías diferentes utilizadas en el 'firewall', como varias soluciones de detección de intrusión o prevención de intrusión (IDS / IPS) , inspección profunda de paquetes, etc.
El bloqueo de contenido en el nivel de firewall se basa con frecuencia en alguna forma de inspección profunda de paquetes, firmas de datos, análisis dinámico y / o virtual basado en máquina, protocolo o IP básica o información de origen / destino del puerto. Hay un aspecto de compensación de recursos / tiempo, es decir, la capacidad de realizar análisis y tomar decisiones de manera que el proceso no tenga un impacto inaceptable en el rendimiento y, luego, solo para hacer la vida más interesante, puede incluir las complejidades introducidas con el cifrado de datos y el impacto que tiene en la capacidad del firewall para analizar los datos.
Sin saber exactamente cómo está bloqueando la aplicación, no podemos responder esta pregunta. Si está bloqueando en función del origen / destino IP / puerto y la aplicación B.exe usa los mismos puertos, entonces sí, es probable que también esté bloqueada. Si su bloqueo se basa en firmas de protocolo y la aplicación usa el mismo protocolo, entonces sí, probablemente. Si está bloqueando en función de alguna otra 'firma' en la comunicación de datos, tal vez o no, dependiendo de si la aplicación nueva / dinámica usa la misma firma. También puede depender de si está hablando de un programa que genera dinámicamente nuevos procesos / aplicaciones para subvertir deliberadamente los bloques de firewall o simplemente debido a alguna otra decisión de arquitectura justificable, es decir, intenciones maliciosas versus diseño inocente.