Identificar tráfico cifrado sospechoso [duplicado]

2

En primer lugar, doy la bienvenida a un mejor título para esta pregunta. Admito que soy un novato de seguridad.

Estoy tratando de determinar si tengo malware y qué puede estar haciendo ese malware. Al usar Wireshark, veo varias transmisiones sospechosas, incluidas las direcciones que terminan en .ln y .ch que envían todos los datos cifrados. Cuando ejecuto whois , siempre se agota el tiempo de espera, a menos que especifique explícitamente el servidor de whois que se va a usar (esto me parece sospechoso), por lo que he recurrido a usar un cliente en línea en enlace .

Una secuencia que está presente de manera más consistente va a lga15s42-in-f21.1e100.net, cada pocos segundos, y se envía a través de TLSv1.2. Los paquetes suelen ser de tamaños fijos (60, 107, 125) pero a veces son más grandes y no se repiten.

~ La entrada de whois para 1e100.net es particularmente sospechosa para mí. ~ Rasca eso. Tuve una entrada inválida al escribir mal el dominio. La entrada real es para Google, Inc., lo que reduce considerablemente la sospecha de este tráfico.

Pregunta modificada, ya que el tráfico parece ir a Google: ¿por qué Google envía esta información a través de TLS en un puerto no estándar? ¿Es esa básicamente la forma en que deberían enviar consultas de fondo? Es molesto porque para un principiante en seguridad (o para el caso, no para un novato), ese tráfico agrega ruido. Estaría más contento si esas consultas se trataran de texto sin cifrar en protocolos estándar, ya que estoy tratando de averiguar si he sido rooteado.

ps. Debería haberlo mencionado, la computadora en cuestión es una MacBook Air Retina Pro, que ejecuta OS X 10.9.3.

    
pregunta Jason Boyd 22.07.2014 - 15:57
fuente

2 respuestas

4

El dominio es 1e100.net pero la entrada whois que muestra es para le100.net , con un l , no un 1 (si estos parecen ser los mismos para usted, elija una fuente mejor) ).

El dominio 1e100.net es mucho más legítimo, y su nombre es una especie de broma. De hecho, si realiza una solicitud whois , obtendrá:

Domain Name: 1e100.net
Registry Domain ID: 
(...)
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA

lo que significa que el dominio está registrado solo por Google. El chiste es una referencia al Googol , un término para el entero enorme 10 100 , que se escribiría en la llamada notación científica "1e100".

El hecho de que Google utilice el dominio está documentado por Google, allí . Básicamente, estás observando un producto de Google (por ejemplo, Chrome) que intenta hablar con su base de operaciones, posiblemente para saber si hay una nueva versión disponible, o como parte de algún mecanismo de búsqueda de Google / Google+ / lo que sea. Eso no es un malware.

    
respondido por el Tom Leek 22.07.2014 - 16:06
fuente
2

Es posible que pueda aclarar si proporciona un sistema operativo.

Si está viendo tráfico sospechoso que se origina en su máquina a algunos nombres de host sospechosos, debe intentar ver qué archivos / programas se están ejecutando en su máquina que produce el tráfico. Es posible que no sean maliciosos, pero si lo son, tiene que haber alguna aplicación que envíe / reciba datos. Si tiene un rootkit en ejecución, puede ocultar estos procesos de las herramientas de monitoreo. Sin embargo, aún puede comenzar con herramientas como netstat y lsof o Process Explorer en windows.

Algunas publicaciones / artículos útiles sobre cómo rastrear la actividad:  - Error del servidor: cómo puede Encuentro qué proceso envía datos a un puerto específico ?  - Tech Republic: realice un seguimiento de las conexiones de red con LSOF en Linux

Si no puede asociar el tráfico con ningún programa o proceso, esto puede indicar que hay algún tipo de rootkit.

No he probado esta aplicación, pero parece similar a las ofertas de Sysinternals y puede ayudar: Process Hacker .

    
respondido por el Eric G 22.07.2014 - 16:01
fuente

Lea otras preguntas en las etiquetas