rilevamento di keylogger tramite rete di ascolto

Naviga le tue risposte
2

È noto che il malware spesso utilizza i keylogger. Inoltre, alcuni virus non vengono rilevati dagli antivirus, quindi alcuni virus, in particolare gli APT, potrebbero rimanere in un sistema per così tanto tempo senza alcun rilevamento. Quello che penso è che se potessi scoprire le attività di keylogger, potrei aumentare la possibilità di rilevare virus o anche APT (il mio vero obiettivo non è APT ma virus).

Voglio un software (o un sistema) che scopra possibili attività di keylogger esaminando il traffico di rete . Esiste un tale software? Questo software non deve funzionare in tempo reale, può essere uno strumento che fa analisi giornaliere o può anche essere uno strumento di risposta agli incidenti.

    
posta smttsp 07.02.2013 - 08:17
fonte

2 risposte

4

Un keylogger può inviare i dati che raccoglie in molti modi:

  • Inviato via email
  • crittografali e inviali via email
  • Carica un file su un server FTP / SFTP
  • Utilizza le richieste HTTP con i parametri crittografati GET / POST
  • Usa altri protocolli per inviare i dati: potrebbero essere costruite richieste DNS speciali che nascondano i dati ex-filtrati in richieste DNS legittime. Può anche usare bit riservati nelle intestazioni dei pacchetti per nascondere i dati lì.
  • etc

Come puoi vedere, ci sono molte possibilità di inviare dati e le possibilità che un determinato strumento sia in grado di rilevare tutte queste possibilità è piuttosto bassa. Ciò non significa che l'utilizzo di un tale strumento (come Snort) non aumenti il livello generale di sicurezza.

Se hai un determinato keylogger che stai bersagliando (e sai come funziona), allora potrebbero essere create regole Snort per portare a termine il tuo compito.

    
risposta data 07.02.2013 - 08:55
fonte
1

Tutti gli strumenti di monitoraggio del traffico fanno questo, e in effetti è considerato dalle grandi imprese come essenziale per la loro sicurezza - poiché le intrusioni avverranno indipendentemente dalla sicurezza della sicurezza in atto.

Questi strumenti vengono eseguiti dall'open source Snort , che è l'IDS / IPS più diffuso al mondo, fino agli elettrodomestici e sistemi di tutti i principali fornitori.

Il termine di ricerca che desideri cercare è SIEM - e copre non solo il tentativo di individuare gli attacchi, ma rilevamento di intrusioni a lungo termine attraverso il monitoraggio dei canali di comunicazione ecc.

    
risposta data 07.02.2013 - 08:52
fonte

Leggi altre domande sui tag

Perché Nessus si blocca allo 0% e come risolverlo? È possibile sapere se l'aumento della quota di mercato significa più virus?