¿Puede el malware ocultar su actividad de red del Monitor de recursos (perfmon)?

5

¿Es posible que el malware oculte su actividad de red de herramientas como el Monitor de recursos que se envía con Windows?

¿Cuánto esfuerzo supone para un desarrollador de malware implementar dicha funcionalidad? Me pregunto si hay un punto en el monitoreo de la actividad de la red, si el malware puede ocultarse fácilmente de él.

    
pregunta Jonathan Egerton 28.01.2013 - 19:43
fuente

4 respuestas

8

Sí.//strong>

Un rootkit generalmente parchea el kernel u otras bibliotecas de software para alterar el comportamiento del sistema operativo. Una vez que esto sucede, no puede confiar en nada de lo que el sistema operativo le indique.

Por ejemplo; un simple cambio en el programa dir podría ocultar la existencia de archivos maliciosos a un usuario, pero muchos paquetes de antivirus lo pueden detectar fácilmente, ya que la alteración de un ejecutable es algo que se puede notar. Sin embargo, si el malware altera los mecanismos mediante los cuales los programas de la zona del usuario consultan el sistema de archivos, parcheando el propio kernel, cualquier programa de espacio de usuario puede ser engañado para que piense que el ejecutable no ha sido modificado.

Una vez que el malware ha comenzado a alterar el comportamiento de las llamadas del sistema / kernel api, puede ocultar cualquier actividad de cualquier , incluidas las interacciones de red.

Todo esto solo se aplica si está monitoreando la máquina infectada localmente. Si tiene registros de firewall o algún otro método remoto para monitorear la máquina infectada, esta información puede ser confiable (las conexiones de red aún tienen que existir , pero pueden estar ocultas de el sistema operativo infectado).

    
respondido por el lynks 28.01.2013 - 20:14
fuente
2

Como hemos respondido anteriormente sobre el rootkit que utiliza técnicas de ocultamiento para esconderse, si hablamos de prevención: Detección de malware de comportamiento es un tema candente para los investigadores para identificar y generalizar algunas reglas de detección basadas en comportamientos inesperados de el malware

Un malware más sofisticado requiere más esfuerzo, a veces la detección no es útil porque requiere más tiempo, de los cuales el malware realizó su tarea.

Por favor lea estos artículos:

Detección conductual de malware: de una encuesta a una establecida taxonomía

Detección de malware de comportamiento a nivel de disco

    
respondido por el Akam 28.01.2013 - 20:57
fuente
1

Sí, es posible, es posible que el malware simplemente reemplace la herramienta incorporada con una versión rota o reemplace los controladores que la herramienta utiliza para detectar la actividad de la red. Esto se llama un rootkit. Para evitarlo, lo mejor es arrancar desde un LiveCD (evitando así que el rootkit pueda tener efecto) o usando una pieza de hardware separada para el análisis (como un analizador de paquetes en otro sistema o registros de un enrutador). .

    
respondido por el AJ Henderson 28.01.2013 - 20:20
fuente
1

En realidad, un rootkit no necesita estar involucrado para que Perfmon se pierda algo. Perfmon utiliza el Seguimiento de eventos para Windows para detectar la actividad de la red. ETW tiene algunas limitaciones a este respecto, es decir, es una herramienta de "mejor esfuerzo": los eventos pueden dejarse caer por miles de razones:

  

Eventos perdidos

     

Perfmon, Diagnósticos del sistema y otras herramientas del sistema pueden informar sobre   eventos perdidos en el registro de eventos e indican que la configuración de   El seguimiento de eventos para Windows (ETW) puede no ser óptimo. Los eventos pueden perderse   por varias razones:

     
  • El tamaño total del evento es mayor que 64K. Esto incluye el encabezado ETW más los datos o la carga útil. Un usuario no tiene control sobre estos   eventos faltantes ya que el tamaño del evento es configurado por la aplicación.
  •   
  • El tamaño del búfer de ETW es más pequeño que el tamaño total del evento. Un usuario no tiene control sobre estos eventos faltantes ya que el tamaño del evento es   Configurado por la aplicación que registra los eventos.
  •   
  • Para el registro en tiempo real, el consumidor en tiempo real no consume eventos lo suficientemente rápido o no está presente por completo y, a continuación, el archivo de respaldo es   Llenando. Esto puede ocurrir si el servicio de registro de eventos se detiene y   comenzó cuando se están registrando eventos. Un usuario no tiene control sobre estos   eventos perdidos.
  •   
  • Al iniciar sesión en un archivo, el disco es demasiado lento para mantenerse al día con la velocidad de registro.
  •   

Sin embargo, afortunadamente, ETW opera en un nivel relativamente bajo en el kernel, por lo que algunas formas comunes que usa el malware para ocultar su actividad (como parchear la pila de LSP) son ineficaces.

Por supuesto, la tecnología de rootkit se puede usar para ocultar cualquier información en una máquina local, incluida la actividad de la red.

    
respondido por el Billy ONeal 29.01.2013 - 18:13
fuente

Lea otras preguntas en las etiquetas