Quali sono le tecniche per rilevare le attività di chiamata / beaconing del malware?

Ci sono diversi modi per farlo, in gran parte a seconda dei registri disponibili, della natura esatta della tua rete e del ceppo di malware con cui sei stato infettato.

Il malware può e utilizzerà il proxy, può e utilizzerà i server dei nomi, può e verrà eseguito nel contesto di un utente normale.

Se entri efficacemente in cieco, senza indicatori di preoccupazione, puoi utilizzare il seguente per individuare il potenziale traffico di malware;

• Traffico web verso un dominio che nessun altro dispositivo sta comunicando con
• Traffico Web verso domini con TLD rischiosi noti (.top, .gq per esempio)
• Grandi quantità di traffico DNS proveniente da un endpoint utente
• Traffico periodico che chiama con un intervallo preciso
• Traffico proxy su porte dispari
• Traffico proxy che rimane fuori dalle ore
• Traffico HTTP con comandi all'interno dell'URI (cioè una shell Web)
• Stringhe di interpreti insoliti

Sono davvero d'accordo con la risposta di Doomgoose, ma vorrei anche proporre qualcosa di diverso. Se hai rilevato il malware, puoi isolarlo ed eseguire alcune analisi dinamiche di base. In questo caso, inserisco il malware in una macchina virtuale in cui potrebbe avere accesso alla rete, eseguire il malware, quindi può raggiungere la sua "casa" e analizzare il traffico, tramite wireshark o altri strumenti che lo fanno come parte della loro routine di analisi dinamica per malware. Una volta identificato il traffico, è possibile creare regole per id / ips / firewall / qualunque, in modo da poter rilevare ulteriormente la diffusione in una grande rete e / o bloccarla. A parte questo, risparmierai molto tempo analizzando i log che potrebbero contenere anche numerose righe di traffico legittimo tra quelli del malware.

I beacon DNS sono i più comuni in base alla mia esperienza, inoltre prestano attenzione ai sistemi che comunicano all'interno della rete utilizzando Let's Encrypt Certificates e "sembrano" come Amazon Web Service, ma in realtà non lo sono. Questi sono segni di un mestiere di hacker. Puoi trovare maggiori informazioni a riguardo Googling per "Malleable C2"

Esistono diversi metodi per rilevare il tentativo di un malware di comunicare con il suo server di comando e controllo. Secondo me, il modo migliore per eseguire un'analisi dinamica di un malware è analizzarlo in una VM isolata che esegue FakeNet.

Quando viene eseguito un malware, utilizza metodi diversi per stabilire la connettività di rete. L'obiettivo è stabilire comunicazioni con la sua C & C. Alcuni lo fanno facendo ping a siti pubblici ben noti come Google o addirittura 8.8.8.8.

FakeNet risponde a tali richieste con una risposta falsa simulando una rete, facendo credere al malware di avere una connessione Internet. I log possono essere esportati in formato .pcap e analizzati separatamente. Puoi leggere ulteriori informazioni su FakeNet qui

Per quanto ne so, la tecnica più diffusa è quella di sfruttare un sinkhole DNS che analizza qualsiasi tipo particolare di richieste in uscita.

Un'altra tecnica che puoi aggiungere alla tua lista è l'uso di honeypot, in genere il malware cerca di diffondersi sulla rete domestica per trovare altre vittime, gli honeypot aiutano a rilevarlo.