So finden Sie mit grundlegenden Tools Malware aus Ihrer Firewall

Die Kontrolle des Datenverkehrs in und aus dem Netzwerk Ihres Unternehmens gilt seit langem als eine sehr gute Möglichkeit, Schutz vor vielen Arten von Bedrohungen zu bieten. Durch das Filtern des ausgehenden Datenverkehrs wird verhindert, dass böswillige Aktivitäten Ihr Netzwerk verlassen, z. B. ein Botnetzmitglied, das versucht, zu Hause nach Anweisungen zu rufen. Hier verwenden wir einige kostenlose Tools für Windows, mit denen Sie mögliche Bedrohungen identifizieren können, die in den ausgehenden Filtern Ihres Netzwerks auftreten.

Erkennen einer möglichen Bedrohung

Wenn Sie Ihren ausgehenden Datenverkehr steuern, sollten Sie regelmäßig die Protokolle Ihrer Firewall oder Ihres Routers überprüfen, da diese Protokolle Sie auf ungewöhnlichen Datenverkehr oder böswillige Muster hinweisen können. Ungewöhnliche Aktivitäten können als wiederholte Versuche auftreten, über nicht standardmäßige Ports eine Verbindung zu externen Adressen herzustellen, oder als Verbindungsversuche zu Servern an Orten, an denen Ihre Benutzer normalerweise keinen Grund zum Zugriff haben sollten. Nehmen wir zum Beispiel einen Windows-Computer, der versucht, über den UDP-Port 12000 eine Verbindung zu einer IP-Adresse in Russland herzustellen.

Sobald Sie den Quellcomputer identifiziert haben (und davon ausgegangen wird, dass ein vollständiger Scan mit einem vollständig aktualisierten Antivirenprogramm nichts ergibt), verwenden wir den Befehl netstat, um den Status der Netzwerkverbindungen für den Computer anzuzeigen . Verwenden von netstat mit dem -? Der Parameter bietet Ihnen alle verfügbaren Optionen für den Befehl. Hier sind einige der Befehle, die für unsere Untersuchung nützlich sein können:

-ein Zeigt alle Verbindungen und Überwachungsports an.
-b Zeigt die ausführbaren Dateien an, die beim Erstellen jeder Verbindung oder jedes Überwachungsports beteiligt sind.
-n Zeigt Adressen und Portnummern in numerischer Form an.
Zeigt die jeder Verbindung zugeordnete Prozess-ID an.
-p Protokoll Zeigt Verbindungen für das angegebene Protokoll an: TCP, UDP, TCPv6 oder UDPv6.

Beachten Sie, dass die Verwendung des Parameters -b zwar die für eine Verbindung verantwortliche ausführbare Datei auflistet, jedoch die Ausführung des Befehls verlangsamen kann und Sie möglicherweise die gesuchte Verbindung verpassen. Die Anzeige der Adressen und Ports in numerischer Form trägt zur Lesbarkeit der Ergebnisse bei.

In unserem Beispiel möchten wir nur Verbindungen sehen, die das UDP-Protokoll verwenden, daher würden wir den UDP- Parameter -p in Kombination mit den Parametern -a, -o und -n verwenden. Das Ergebnis sollte folgendermaßen aussehen (die tatsächlichen IP-Adressen wurden redigiert):

Abbildung A.

Mithilfe der resultierenden PID können wir den Prozess und die zugehörigen Programme mithilfe des Windows-eigenen Task-Managers identifizieren:

Abbildung B.

In einigen Fällen reicht es aus, netstat auszuführen, um den Prozess und die für die Verbindung verantwortliche ausführbare Datei zu identifizieren. Manchmal können die Ergebnisse von netstat irreführend sein: In unserem Beispiel stellt sich heraus, dass der für die Verbindung verantwortliche Prozess explorer.exe ist, die ausführbare Datei der Windows-Shell. Wenn Sie die ausführbare Datei über VirusTotal (http://www.virustotal.com) ausführen, wird angezeigt, dass die Datei sauber ist, und wenn Sie sie mit einem sauberen Computer vergleichen, scheint sie nicht kompromittiert worden zu sein. In diesem Beispiel spielt etwas anderes eine Rolle.

Prozessmonitor aufrufen

Der Prozessmonitor (procmon - hier gefunden: http://technet.microsoft.com/en-us/sysinternals/bb896645) ist ein Tool für Windows von Sysinternals, mit dem Sie alle Aktivitäten des Dateisystems in Echtzeit anzeigen können. Registrierung und Prozess / Thread für einen Computer. Es hat eine grafische Oberfläche - kann aber auch über die Befehlszeile ausgeführt werden.

Sobald Sie procmon.exe starten, werden sofort Ereignisse erfasst. Sie können diese Ergebnisse zur späteren Prüfung in einer Protokolldatei speichern, wenn Sie dies wünschen. Beachten Sie jedoch, dass auf einigen Computern möglicherweise viele Ereignisse gleichzeitig auftreten und das resultierende Protokoll bereits nach wenigen Minuten der Datenerfassung sehr groß sein kann:

Abbildung C.

Um die Erfassung von Ereignissen zu beenden, wählen Sie im Menü Datei, Ereignisse erfassen. Aus den Ergebnissen von netstat wissen wir, dass explorer.exe hinter den Verbindungsversuchen steckt. Mit dem Prozessmonitor kann ein Filter eingerichtet werden, der nur die Aktivität für explorer.exe anzeigt. Wenn Sie mit der rechten Maustaste auf explorer.exe klicken, um eines der registrierten Ereignisse anzuzeigen, können Sie es "einschließen". Dies ignoriert alle anderen aufgezeichneten ausführbaren Dateien:

Abbildung D.

Sie können es auch ausschließen und aus der aktuellen Ansicht ausblenden. Diese Filter können auf nahezu alle erfassten Daten angewendet werden. Wenn wir zu unserem Beispiel zurückkehren, können wir schnell sehen, dass der Verbindungsversuch erfasst wurde:

Abbildung E.

klicken um zu vergrößern

Beim Überprüfen der Operationen explorer.exe, die unmittelbar vor dem Verbindungsversuch ausgeführt wurden, wird ein ungewöhnlicher Eintrag angezeigt:

Abbildung F.

klicken um zu vergrößern

Es scheint, dass explorer.exe versucht, Informationen in der Registrierung zu lesen, die zu einer Datei im Papierkorb führen. Es ist nicht ungewöhnlich, dass Malware versucht, ihre Präsenz auf einem System zu verbergen. Daher haben wir möglicherweise einen neuen Verdächtigen gefunden. Wenn Sie die Datei auf VirusTotal übertragen, bestätigen einige der verwendeten Scan-Engines, dass es sich um eine Variante eines älteren Trojaners handelt, die sich jedoch von der aktuellen Signatur der installierten Antivirensoftware unterscheidet.

Obwohl dies ein kurzes Beispiel war, können die hier beschriebenen Tools und Schritte hoffentlich hilfreich sein, um Bedrohungen zu erkennen, die sonst möglicherweise unbemerkt bleiben.

© Copyright 2020 | mobilegn.com