Cómo detectar códigos maliciosos que envían información al servidor del atacante en Linux

6

Supongamos que tiene algún código malicioso en su computadora portátil Linux, por ejemplo, un rootkit o un troyano o algo así. Ahora restrinja su atención al caso de que el código malicioso transfiera cierta información al pirata informático a través de Internet, por ejemplo, porque el pirata informático quiere robar algunos archivos de su computadora o sus contraseñas a través de un registrador de teclas o porque quiere usar su máquina como Una base para hackear, por ejemplo, una empresa o servidor de gobierno.

Siendo un lego en la seguridad de la red, asumo que debería ser posible simplemente redirigir (por ejemplo, a través de ARP-spoofing o algo así) todo el tráfico de su caja (A) sobre otra caja no comprometida (B) y ver por Olfateo si hay algún tráfico sospechoso. Esto parece ser fácil si sabes que A no debería enviar ningún tráfico en este momento (porque no navegas por la web, etc.). Sin embargo, el código malicioso podría ser un poco más inteligente y enviar datos solo si hay algún otro tráfico que salga de (A), por ejemplo, cuando navega en la web. Entonces, necesitaría un método para generar tráfico controlado saliente de la máquina A. La máquina B debería saber qué tráfico se genera cuando se genera, es decir, esperar y debería poder encontrar el tráfico adicional y detectar el virus cuando se reporta al servidor. .

Supongo que este modelo es un poco ingenuo, pero quiero aprender más detalles técnicos sobre este punto:

  • ¿Qué tan cerca está mi descripción anterior de la realidad?
  • ¿Qué otros métodos más sofisticados puede usar el virus para enmascarar el envío de información?
  • Si el sniffing descrito es un buen método para detectar dicho código cuando el código se reporta al servidor, ¿cómo podría uno hacer esto en detalle (en Linux)? ¿Y cómo asegurarse de detectar incluso formas muy inteligentes de enmascarar el envío de información?
pregunta student 25.04.2014 - 10:37
fuente

1 respuesta

1

realmente depende de la profundidad del atacante en tu sistema; Si está controlando tu DNS, esto será un poco complicado; si un atacante ya está en tu servidor, estás condenado de todos modos; hay muchos canales ocultos que no son fáciles de detectar o canales de comando que utilizan twitter, p2p, dns-consultas, etc. pp; busque "canales ocultos" en la sala de lectura SANS-ISC para tener una idea de lo que podría ser posible

  

redirigir ... y ver si se detecta algún tráfico sospechoso

casi imposible; Las heurísticas no funcionan. ¿Y qué haces con el tráfico cifrado?

para controlar las solicitudes de http:

  • use squid como un proxy transparente y use una lista blanca con destinos de conexión permitidos

para el control general de redes

  • use iptables-setup enfrente de su servidor (DENEGA algo, permita lo que sea necesario)
  • registrar cualquier intento de conexión saliente para un análisis posterior
  • use tcpdump para registrar cualquier tráfico (no olvide UDP)
respondido por el that guy from over there 25.04.2014 - 14:11
fuente

Lea otras preguntas en las etiquetas