Rintracciamento del malware all'interno della rete domestica

2

La mia rete domestica è stata chiusa due volte dal mio Internet Provider perché "sta tentando di accedere a risorse non autorizzate" all'interno della rete del provider Internet.

Sto cercando di rintracciare il dispositivo incriminato in modo da poter eliminare qualsiasi malware che ha messo radici su di esso, ma non sono sicuro di come.
Ho un certo numero di computer in esecuzione, Linux, macOS e Windows e alcuni (non molti, per fortuna) dispositivi IOT, ognuno dei precedenti potrebbe essere il colpevole, e solo alcuni dei dispositivi (macOS e Windows in particolare) hanno anti- software antivirus che conosco.

La mia topologia di rete è piuttosto semplice, ho un modem / router connesso a Internet fornito dal mio Internet Provider (prodotto da Arris) che è anche collegato a un altro router wireless (penso che entrambi fungano da server DHCP con il router wireless che si trova sulla propria sottorete, instrada il traffico verso il modem in base alle esigenze, ma dovrò confermare come l'ho configurato dopo il mio ritorno a casa).
Tutti i miei dispositivi si connettono a uno di questi due dispositivi e ricevono il traffico Internet inoltrato al mio Internet Provider.

L'unico modo in cui posso pensare di rintracciarlo è chiedere al mio Internet Provider i dettagli sulla risorsa che la mia rete sta tentando di accedere e quindi configurare Wireshark e mettere la mia scheda NIC in modalità promiscua e attendere che accada di nuovo.

C'è un modo migliore per rintracciare questo malware?

    
posta Chris 20.03.2017 - 22:36
fonte

1 risposta

3

Per identificare con precisione cosa sta succedendo, l'acquisizione nel tempo utilizzando Wireshark (e aggiungere forse un po 'di logging su ciascun nodo di rete) ti farà sapere esattamente cosa sta succedendo. "Abbastanza" perché, sapendo che l'attaccante sta attaccando il tuo ISP, possiamo supporre che il malware potrebbe avere diffondere nella tua rete domestica, guadagnando luoghi sicuri e tranquilli per nascondere per qualche tempo . Seguiamo alcune metodologie di crisi (o una versione leggera di questo!)

  • Rifiuta gli attacchi, limita lo spread

Forse un IDS / IPS può aiutarti a snort il malware e bloccare le comunicazioni dannose sul bridge di rete. Aggiungi alcune regole del firewall: al momento sto pensando al filtro IP di destinazione, ma puoi aggiungere alcune regole basate sull'uso di ciascuna delle tue macchine. Questo potrebbe isolarlo, è un buon inizio.

  • Sradicare

Quindi, eliminare potrebbe essere più difficile e le soluzioni sono abbastanza evidenti: le scansioni antivirus potrebbero funzionare o le operazioni di pulizia del disco lo faranno.

I pochi oggetti IoT potrebbero essere ancora difficili da gestire, in quanto il dispositivo può essere bloccato / proprietario.

    
risposta data 20.03.2017 - 23:37
fonte

Leggi altre domande sui tag