Un cavallo di Troia può nascondere la sua attività da TCPView?

14

Un cavallo di Troia può nascondere la sua attività da TCPView ?

Ho fatto una piccola ricerca prima di chiedere, ma non riesco ancora a trovare la risposta per questo.

So che un cavallo di Troia può nascondersi dal Task Manager di Windows tramite vari metodi. Inoltre, meno frequentemente, può nascondere la sua attività dal comando netstat (principalmente sostituendo il programma con la propria versione) . Immagino sia meno frequente perché (mi aspetto) qualsiasi antivirus non protetto e protetto da allerta per i cambiamenti nei file di sistema (non sono sicuro di essere ingenuo). Anche se, se il Trojan utilizza un processo di Windows (non il proprio nome) per connettersi a Internet, molte volte è possibile identificare quella che non è una connessione prevista per qualche indirizzo IP casuale.

Molti siti Web consigliano di utilizzare TCPView per verificare connessioni insolite e mi chiedo se un Trojan può nascondere la sua attività da TCPView. Non sono sicuro che TCPView sia solo un'interfaccia grafica che utilizza il programma netstat. In tal caso, se esiste un metodo per nascondere da netstat , sarà nascosto da TCPView, naturalmente.

Non penso che un cavallo di Troia sarebbe codificato in modo specifico per nasconderlo da TCPView (o TCPView è così popolare che questo accade?), ma forse c'è un metodo per nascondere la sua attività da qualsiasi programma che tenti di controllare l'attuale Connessioni Internet (anche Wireshark ) e per nascondere quali programmi o processi Windows (anche svchost o sistema) stanno stabilendo anche quelle connessioni.

Se conosci metodi specifici utilizzati per nasconderlo da TCPView potresti menzionarli?

Voglio sapere questo, perché non sono sicuro che l'uso di TCPView o Wireshark per verificare connessioni insolite sia un test a prova di proiettile per confermare tale attività.

    
posta JohnSt 19.10.2015 - 08:32
fonte

5 risposte

12

I don't think that a trojan horse will be specifically codded to hide from TCPview (or it is TCPview so popular that this happens?) but maybe there's a method to hide it's activity form any program trying to check the current internet connections (even wireshark) and what programs or windows processes (even svhost or system) are establishing those connections.

If you know specific methods used to hide from TCPview could you mention them?

Un rootkit a livello di kernel può nascondersi da qualsiasi programma a livello utente sul sistema, che include TCPview. Questo perché tutti i programmi a livello utente eseguono richieste del kernel per ottenere informazioni, come l'accesso a tabelle di connessione di rete, interfacce e pacchetti. L'attaccante "aggancia" le interfacce del kernel in modo da intercettare queste richieste, e quindi i programmi a livello utente possono dire " mostrami tutti i pacchetti " e ricevere tutto tranne i pacchetti rootkit.

C'è un buon documento qui chiamato Contrasto dei rootkit persistenti del kernel attraverso Systematic Hook Discovery che descrive il metodo con cui i rootkit eseguono questa operazione in modo abbastanza conciso. Per citare:

...a rootkit by nature is programmed to hide itself especially from various
security programs including those widely-used system utility programs such
as ps, ls, and netstat. As such for an infected OS kernel, the provided
kernel service (e.g., handling a particular system call) to any request
from these security software is likely manipulated. The manipulation
typically comes from the installation of kernel hooks at strategic
locations somewhere within the corresponding kernel-side execution path
of these security software.

The reason I want to know this is I'm not sure that using TCPview or Wireshark to check for unusual connections is a bulletproof test to confirm that activity

Se pensi che un sistema possa essere compromesso, non ti puoi fidare di una cosa che ti dice. Quindi metodi di controllo esterni, come wireshark su una macchina diversa (acquisizione tramite hub, span port, what-have-you) sono necessari per ottenere una visione obiettiva del traffico di rete.

La combinazione di informazioni esterne e informazioni può anche essere molto, molto utile. Se vedi molti pacchetti da remoto: 3456 sospetti: 8080, ma la tua macchina sospetta dice che non sta ascoltando 8080, è un buon segno che hai un kernel rootkit che nasconde il suo uso della rete.

    
risposta data 19.10.2015 - 14:20
fonte
6

Sono sicuro che altri saranno in grado di specificare esattamente come questo possa essere fatto, ma vorrei sottolineare che dovresti sempre presumere che sia possibile e ha stato fatto. Certo, potrebbe non essere probabile per la maggior parte delle infezioni da trojan, ma la due diligence richiede che tu ti comporti come se non ti fidi di nulla che una macchina compromessa ti sta dicendo.

In pratica, ciò significa che devi far apparire un hub di rete da qualche parte a monte della macchina, e monitorare il traffico usando quello per vedere a cosa serve la tua macchina sospetta, e perché generalmente, nuotare dall'orbita è il unico modo per essere sicuro.

Penso che dipenda dalla situazione. Se hai una macchina sospetta sulla rete di un'ambasciata, probabilmente vorrai mettere il tuo super paranoico e usare una porta hub / switch mirror per monitorare il traffico, riducendo al minimo le possibilità di rovesciare i tuoi avversari. Per una piccola impresa o personal computer; per prima cosa assicurati di vedere tcpview e wireshark sulla macchina per vedere se qualcosa ti salta fuori. Anche se poi hai ancora dei dubbi, personalmente vorrei vedere il traffico dal filo, per così dire, per vedere cosa sta succedendo.

Modifica

Come KonradGajewski sottolinea nei commenti seguenti, è possibile utilizzare un numero qualsiasi di metodi diversi per intercettare il traffico dalla macchina a seconda delle specifiche del proprio layout di rete. Questo potrebbe essere semplice come mettere un hub o un laptop tra la macchina e il resto della rete, oppure utilizzando una porta switch mirror, monitorando il traffico wireless e così via.

    
risposta data 19.10.2015 - 11:02
fonte
2

È assolutamente possibile che qualcuno stia sviluppando malware in grado di nascondere i pacchetti dagli sniffer. Poiché molti sniffer su sistemi Windows dipendono da WinPCAP come driver di acquisizione, sarebbe ad esempio possibile manipolare i driver per nascondere pacchetti specifici che stanno viaggiando.

Ecco perché utilizzo il mio laptop come bridge per acquisire pacchetti quando si tratta di sistemi potenzialmente compromessi. Puoi farlo facilmente usando il pacchetto bridge-utils sulla maggior parte dei sistemi Linux.

    
risposta data 19.10.2015 - 12:27
fonte
1

Qualsiasi cosa può essere manipolata in Windows con reverse engineering qualificato. Un RAT generico che nasconde TCP da Wireshark è estremamente improbabile, ma è possibile. Non basarti solo sul tuo software antivirus (AV) perché sono molto inaffidabili e non possiedono tecniche euristiche molto buone a mio parere.

Potresti scrivere un programma malevolo e caricarlo su link , e scommetto che la maggior parte degli AV non rileverà ciò che tu " ho scritto Le modifiche al file system non vengono registrate da tutti gli AV, e sarebbe un compito iniziale che richiede molto tempo in quanto sarebbe necessario eseguire l'hash dei file di sistema noti.

Se si desidera che i controlli a prova di pallottola per il networking si desidera registrare il traffico sul router, ma assicurarsi che il router non sia compromesso prima di effettuare la registrazione di rete.

    
risposta data 19.10.2015 - 12:07
fonte
1

Talvolta i trojan di base possono essere rilevati monitorando il traffico di rete o semplicemente guardando le porte aperte.

I trojan avanzati possono nascondere il loro traffico all'interno di altro traffico, possono usare steganografia tecniche o semplicemente inviare i loro dati molto raramente o solo durante o durante eventi specifici, in modo che potrebbero essere più difficili da rilevare da un monitor di rete. Dipende dalla quantità di Trojan mirati che ti aspetteresti, ad esempio se sei un utente privato o in un'azienda di sicurezza o in un'ambasciata, ecc.

Come nelle altre risposte scritte, monitoraggio su un host possibilmente infetto potrebbe dare risultati errati. Il Trojan potrebbe anche disattivare se stesso per il tempo in cui l'utente utilizza uno strumento di monitoraggio della rete sullo stesso host per impedire il rilevamento di se stesso.

    
risposta data 19.10.2015 - 17:35
fonte

Leggi altre domande sui tag