Dovrei essere preoccupato per i rootkit?

4

* Nota: la mia domanda è abbastanza specifica per la mia situazione. Sebbene possa esserci una risposta, non sono sicuro su come cercarla. *

Sono curioso di capire di più sull'ottimizzazione della mia velocità di internet per il mio computer di casa e quindi spesso controllare le connessioni in uscita e vedere quali applicazioni stanno funzionando al momento. Lo faccio per assicurarmi che il nuovo software non abbia aggiornamenti automatici o servizi cloud di cui non ero a conoscenza in modo esplicito. Ex. Skype continua a voler accedere o aggiornare, ma semplicemente lo voglio lì per dovrebbe essere un unico mezzo per raggiungere qualcuno. Ma sto divagando.

Quindi questo mi porta alla mia domanda principale. Dopo pochissime ricerche ho scoperto i rootkit e la possibilità di "ingannare" il sistema con informazioni false. Ho osservato questo aspetto notando una discrepanza tra il mio monitor delle risorse e la scheda Prestazioni del task manager. id come notare qui che questa è l'edizione di Win 10 Home. comunque, le connessioni che ho in arrivo sul mio ResMon sono tremendamente basse rispetto alla scheda Perf. Ho incluso un Pic di questi due mentre si trovavano fianco a fianco. Schermata allo stesso tempo.

Quindi la mia domanda è che potrei avere qualcosa di malvagio in corso, o c'è una spiegazione logica per come funziona il sistema.

    
posta Nate 13.08.2017 - 09:51
fonte

3 risposte

5

Rootkit e altre backdoor

Risposta breve:

  • Dipende dalla tua personalità, se preferisci la sicurezza o il comfort.
  • Se preferisci il comfort, puoi scaricare alcuni programmi antivirus gratuiti per Windows, o pagare per alcuni di loro, e credere ai loro rapporti. Non preoccuparti.
  • Se ti interessa la sicurezza, è una domanda insignificante se hai un rootkit / virus specifico in esecuzione sul tuo computer Windows, perché è molto probabile che tu abbia almeno 2 o 3 backdoor incorporate e il lungo soluzione a termine lascerà alcune aziende, come Microsoft e Google. Non ci si deve aspettare sicurezza o privacy con Skype, Windows o marchi di computer / telefoni noti.

Risposta lunga:

  • Non so in questa situazione specifica, se hai Computrace, ma ho sentito, che su macchine Win continua a telefonare ai server aziendali, il che può essere il motivo del traffico di rete. Cerca rpcnet.exe e simili. Non so se funziona davvero a bloccare computrace su Win più. Dipende dalla tua situazione Computrace è praticamente un BIOS / backdoor BIOS compilato per la maggior parte dei computer moderni che possono monitorare e prendere il controllo del nostro dispositivo, come pulire l'intero disco, ecc. Si dovrebbe sospettare di ciò soprattutto se si è acquistato un dispositivo usato.
  • Il prossimo direi firmware spyware / backdoor, sono anche programmi ufficiali che controllano la tua macchina, come driver audio, app di supporto e simili bloatware phising preinstallati eo necessari per il corretto funzionamento.
  • Può essere anche Skype, prova a disinstallarlo, e causerà meno crash, lag e probabilmente anche traffico netto. A volte si comporta anche come uno spyware.
  • Il traffico minimo è normale quando è in esecuzione Firefox. Se hai installato altre app, potrebbero anche chiamare i server di volta in volta.
  • Se non si dispone di backup, farlo ora, eseguire una reinstallazione, eseguire un controllo antivirus sul sistema nuovo e i file salvati e avviare tutto nuovo con nuove password. Questo è il modo più sicuro che puoi fare su Windows.

Suggerimento / Soluzione:

La maggior parte di queste cose può essere risolta usando Linux, e ci sono molte più distribuzioni facili da usare nel 2017.

  • Non deve usare Skype, ci sono programmi di chat sicuri opensource, multipiattaforma / protocollo.
  • Linux è meno popolare e più difficile da attaccare dai virus.
  • È opensource, quindi è più difficile implementare backdoor, diversamente da Microsoft.
  • Linux ha firmware opensource, quindi gli spyware preinstallati vengono cancellati quando si pulisce l'unità e non è necessario controllare il dispositivo.
  • Anche computrace non sembra funzionare con Linux. Non è possibile cancellarlo facilmente dal BIOS, ma non sarà possibile eseguirlo.
  • Esistono BIOS opensource su hardware limitato, ma in genere richiede una conoscenza a livello di hardware.

Sentiti libero di chiedere.

    
risposta data 13.08.2017 - 11:10
fonte
2

Ci sono molte buone spiegazioni che altri hanno sollevato.

  • Rootkit
  • Backdoor nel sistema operativo
  • Discrepanza tra le unità di misura (1 Mbs non è uguale a 1 MB / s, 1 MB / s è 8 Mbs)
  • Potresti non vedere il traffico da altri utenti (stai correndo come amministratore?)
  • Lettura media vs lettura istantanea

Tuttavia, c'è anche un'altra possibilità su cui scommetterò nel tuo caso particolare:

  • traffico non TCP / IP

Come prova del concetto ho eseguito un ping flood da una macchina separata alla mia macchina Windows. Su Windows ho visto ~ 50 Mbs in ingresso all'interfaccia di rete e solo 0,1 Mbs a livello di applicazione. Apparentemente l'elenco delle applicazioni mostra solo le statistiche TCP / UDP. Il ping sembra essere l'ICMP, ma ci sono anche dozzine di protocolli comuni (per nominare una coppia GRE, AH, L2TP, ecc.).

Se il traffico che stai vedendo è malevolo o non necessita di ulteriori indagini. Il modo in cui arriverai davvero al fondo è con wireshark. Se acquisisci il traffico per un determinato periodo di tempo, vedrai esattamente quali protocolli sono responsabili per quella larghezza di banda e, come bonus, scoprirai quali endpoint IP sono coinvolti.

    
risposta data 14.08.2017 - 22:14
fonte
1

Le velocità di trasferimento dei dati (a sinistra della foto) sono per periodi di tempo molto brevi e sono difficili da conciliare con "il numero di byte trasferiti" (a destra).

Quello che hai è il primo segno che qualcosa non va bene. Non è ancora una pistola fumante, ma probabilmente è qualcosa da iniziare a controllare - per vedere se qualcosa non va; e se lo è, cos'è. Potrebbe essere rootkit o qualcos'altro.

Anche se ci sono molti approcci per indagare, poiché questo inizia con il traffico di rete, dovresti provare a catturare il traffico di rete, preferibilmente usando un altro dispositivo "meno affidabile". Utilizza una distribuzione come Security Onion per installare rapidamente un sistema di monitoraggio e guardare.

Esistono altri passaggi a barriera più bassa che è possibile intraprendere, incluso il controllo dei malware con qualcosa come MalwareByte . Nulla è assolutamente garantito per rilevare ogni volta, ma è un punto di partenza.

Modifica: corretto il link a Security Onion.

    
risposta data 13.08.2017 - 10:46
fonte

Leggi altre domande sui tag