Ho bisogno di aiuto per identificare la causa del traffico in uscita strano dalla mia rete

2

Ho una strana voce di traffico in uscita dalla mia rete. È stato bloccato dal firewall per uscire e non sono sicuro di quale sia la fonte. Ho guardato la macchina e non vedo nulla di sfacciatamente compromesso.

Cosa ho fatto sulla macchina: la scatola è Win7 Enterprise x64. Ho usato Redline per catturare un'immagine di memoria e altri dati da un raccoglitore. Ho usato l'immagine della memoria e la volatilità per esaminare le connessioni di rete, pstree ecc. Ho usato Redline per il prefetch, la cronologia degli URL e altri metadati.

Non vedo alcuna cronologia nel plugin netscan della volatilità per quanto riguarda gli IP. Suppongo che questo sia dovuto al fatto che il firewall ha impedito di effettuare una connessione completa. Ho controllato un ampio campione degli IP di destinazione su alcuni siti di reputazione IP e sono puliti.

Al momento ho tre caselle con un'attività molto simile ma non identica. Ne esce uno nuovo ogni settimana. Nessuno di loro è successo due volte. Nessuna delle caselle contiene software P2P.

  • Il traffico è UDP, principalmente con un porto di dati di 39156,
  • Le porte di destinazione sono alte e variano.
  • Il traffico dura diverse quantità di tempo per scatola ... talvolta un'ora e mezza, altre volte 20 minuti.
  • Gli indirizzi IP di destinazione sono in tutto il mondo, centinaia di essi.
  • La maggior parte dei pacchetti contiene 66 o 72 byte di caratteri casuali - a volte due, tre o quattro di questi pacchetti UDP per ciascun indirizzo IP ... quindi passerà al successivo indirizzo IP ...

Qualche idea? Grazie!

    
posta bfoxfla 12.08.2014 - 15:52
fonte

1 risposta

4

Eseguire il seguente comando sulla casella per trovare il PID di qualsiasi traffico UDP sulla macchina.

> netstat -a -p udp -o

Puoi usare findstr per filtrare i risultati cercando i numeri di porta specifici (ricorda, sembra che stia cambiando, quindi gioca con il tuo filtro)

> netstat -a -p udp -o | findstr 51400

Una volta ottenuto il PID, utilizzare taskman per trovare l'eseguibile. Una volta eseguito e nella scheda Processi, fai clic su "Mostra processi da tutti gli utenti", quindi seleziona Visualizza - > Seleziona colonne ... e assicurati che il nome del percorso dell'immagine e la riga di comando siano selezionati.

Una volta identificato il programma, puoi eseguire alcune analisi del malware con Cuckoo.

    
risposta data 12.08.2014 - 17:08
fonte

Leggi altre domande sui tag