Come rilevare i dispositivi infetti sulla rete locale [chiuso]

3

Oggi ho letto di un ricercatore che ha acquistato un registratore TV digitale e lo ha collegato a Internet - probabilmente utilizzando il port forwarding per consentire agli aggressori di connettersi al registratore. Dopo un po 'qualcuno è stato in grado di connettersi con Telnet e caricare software per estrarre i bitcoin.

Se ciò è possibile, potrebbero essere installati altri malware che tentano di infettare altri computer nella rete. Poiché questi dispositivi non sono monitorati, sono ideali per nascondersi.

Quindi il tuo computer Windows medio è infettato da malware, trova un registratore TV nella tua rete, infetta quello. Il PC Windows viene rimosso dal malware, ma il registratore non viene rilevato e dopo un po 'infetta un altro computer, ecc ...

Come posso rilevare i dispositivi infetti sulla mia rete locale? Quali metodi ci sono per impedire che ciò accada?

    
posta SPRBRN 06.05.2014 - 12:54
fonte

1 risposta

4

La maggior parte del malware nella nostra rete viene rilevato dal traffico dispari che genera.
Ad esempio, quando un dispositivo sulla rete sta comunicando con un comando bot e una rete di controllo conosciuti, lo sappiamo immediatamente. I dispositivi infetti tenteranno inoltre di comunicare in modo inaspettato con altri dispositivi sulla rete e questo viene rilevato. Implementiamo (e regoliamo) le regole su ciò che il traffico genera avvisi. Una di queste regole viene tentata di comunicare con gli indirizzi registrati negli ultimi 14 giorni.

Certo, è una corsa agli armamenti quando il malware presenta modi interessanti per eludere tale rilevamento.

Il secondo modo più comune è la scansione anti-virus che facciamo. Il malware nuovo di zecca non avrà una firma, ma alla fine le firme sono note.

So che stai parlando di una rete domestica, ma si applica la stessa tecnica. Avresti qualcosa di simile a Snort installato e scrivere firme su quale traffico è permesso tra la tua macchina Windows e quel DVR descritto nell'articolo. Speriamo che le comunicazioni malware possano attivare l'allarme in Snort in modo da poter rilevare l'infezione.

    
risposta data 06.05.2014 - 14:22
fonte

Leggi altre domande sui tag