Qualcuno sa di un metodo per impronte digitali nella LAN e scoprire che tipo di software AV è installato?
Ci sono due modi per rilevarlo, Passivo o Attivo.
Questo è ciò a cui Iszi si riferiva. Se riesci a entrare nel flusso di dati, puoi raccogliere molte informazioni. Utilizzando l'analisi del flusso è possibile controllare le macchine che effettuano connessioni a server di aggiornamento noti. Quindi, guardati intorno ad alcuni prodotti AV, ottieni un elenco di indirizzi IP dai quali servono i loro aggiornamenti, quindi filtra su alcune delle porte di trasferimento dati più comuni. Per l'AV questo tende ad essere sia HTTP, sia 80 o 443 o FTP.
Se hai accesso al flusso di dati direttamente, tramite una presa o una span, puoi eseguire un'analisi più approfondita. Qui, puoi effettivamente effettuare il troll attraverso il canale di comunicazione per cercare i download di pacchetti di firme. A seconda del fornitore, potresti persino essere in grado di ottenere il numero esatto di prodotto e / o versione da UserAgent o dal nome file dei pacchetti di firme.
Inoltre, se hai un IDS / IDP in atto, potresti probabilmente costruire le tue firme per cercare questo tipo di comportamento. O, meglio ancora, il tuo fornitore potrebbe anche fornirne qualcuno. Ad esempio, Sourcefire invia un numero molto elevato di firme "Politica" che consentono di individuare violazioni delle norme aziendali come la ricerca di siti web di ricerca di lavoro, l'esecuzione di ricerche di Google Immagini con SafeSearch disattivato o l'utilizzo di Skype. Potresti riuscire a trovare le firme delle applicazioni per AV in un pacchetto come questo.
Questo è quello che vuoi veramente, accedere ai sistemi stessi e controllare l'inventario del software. Essere in grado di farlo è altamente dipendente dalla propria organizzazione e da quanto controllo si ha su macchine client. Se si dispone di un accesso amministrativo ai sistemi, è possibile accedere in remoto ed estrarre qualsiasi informazione desiderata. Ad esempio, Nessus, dato i privilegi di amministratore, eseguirà un inventario completo del software. Oppure, le stesse informazioni possono essere raccolte tramite SCCM. puoi ricorrere sempre a scrivere un WMI uno script per sondare da remoto, ma ci sono così tanti strumenti migliori là fuori, che non dovresti avere.
Se sei abbastanza fortunato da disporre di un sistema NAC, puoi anche eseguire questo polling come parte della valutazione della postura di pre-autenticazione. Naturalmente, se sei abbastanza fortunato da avere un NAC perfettamente funzionante, allora sei probabilmente abbastanza fortunato da avere anche alcuni degli altri metodi disponibili.
Hai accesso a queste macchine da un punto di vista amministrativo, potrebbe essere difficile dire al software AV basato solo su una scansione di vulnerabilità.
Se disponi dell'accesso amministratore su queste macchine, potresti riuscire a estrarre WMI o altri servizi. Usando qualcosa come una scansione con credenziali con Nessus ti dirò spesso quale AV è installato o può essere usato per ottenere un elenco di tutti i programmi installati e quelli in esecuzione.
Senza l'accesso solo dal livello di rete, è necessario acquisire passivamente il traffico alla ricerca di firme su un server di aggiornamento locale o su indirizzi IP del server AV remoto noto.