¿Cuáles son las técnicas para detectar las actividades de inicio / balizamiento de llamadas de malware?

Hay varias formas de hacerlo, dependiendo en gran medida de los registros disponibles, la naturaleza exacta de su red y la variedad de malware con el que está infectado.

El malware puede y usará su proxy, puede y usará sus servidores de nombres, puede y se ejecutará en el contexto de un usuario normal.

Si efectivamente se está quedando ciego, sin indicadores de preocupación, podría usar lo siguiente para seleccionar el tráfico de malware potencial;

• el tráfico web a un dominio con el que ningún otro dispositivo se está comunicando
• Tráfico web a dominios con TLD riesgosos conocidos (.top, .gq por ejemplo)
• Grandes cantidades de tráfico DNS que se originan en un punto final de usuario
• Tráfico periódico que llama con un intervalo preciso
• Tráfico de proxy en puertos impares
• Tráfico de proxy que permanece fuera de las horas
• Tráfico HTTP con comandos dentro del URI (es decir, un shell web)
• cadenas inusuales de agente de usuario

Realmente estoy de acuerdo con la respuesta de Doomgoose, pero también me gustaría proponer algo diferente. Si ha detectado el malware, puede aislarlo y realizar un análisis dinámico básico. En este caso, pondría el malware en una máquina virtual donde podría tener acceso a la red, ejecutaría el malware, para que pueda llegar a su "casa" y analizar el tráfico, ya sea a través de wireshark, u otras herramientas que hacen esto como parte De su rutina de análisis dinámico para malwares. Una vez que se identifica su tráfico, puede crear reglas para las identificaciones / ips / firewalls / lo que sea, para que pueda detectar aún más la propagación en una red grande y / o bloquearla. Aparte de eso, ahorrará una gran cantidad de tiempo en el análisis de registros que también pueden contener numerosas líneas de tráfico legítimo entre los del malware.

Los DNS Beacons son los más comunes según mi experiencia, también tenga cuidado con los sistemas que se comunican dentro de su red utilizando los Certificados Let's Encrypt y "parece" el servicio web de Amazon, pero en realidad no lo son. Estos son signos del oficio pirata informático. Puede encontrar más información al respecto en Google para "Malleable C2"

Existen diferentes métodos para detectar un intento de malware de comunicarse con su servidor de comando y control. En mi opinión, la mejor manera de realizar un análisis dinámico de un malware es analizarlo en una máquina virtual aislada que ejecuta FakeNet.

Cuando se ejecuta un malware, utiliza diferentes métodos para establecer la conectividad de la red. Su objetivo es establecer comunicaciones con su C & C. Algunos lo hacen haciendo ping a sitios públicos conocidos como Google o incluso 8.8.8.8.

FakeNet responde a dichas solicitudes con una respuesta falsa simulando una red, haciendo que el malware crea que tiene una conexión a Internet. Los registros se pueden exportar en formato .pcap y analizar por separado. Puede leer más en FakeNet aquí

Según mi conocimiento, la técnica más frecuente es aprovechar un sumidero DNS que analiza cualquier tipo particular de solicitudes salientes.

Otra técnica que puede agregar a su lista es el uso de honeypots, en general, el malware intenta propagarse por la red doméstica para encontrar otras víctimas, el honeypots ayuda a detectar esto.