Analisi malware - Controllo del traffico

2

Sto lavorando su un piccolo progetto. Esiste un'organizzazione in cui conta 100 sistemi in tutto il paese. Tutto il traffico della propria macchina passa attraverso un singolo proxy monitorato e gestito dall'organizzazione. Il proxy è configurato per utilizzare solo siti Web quotati in bianco come www.google.com e molti altri. (Non sono a conoscenza della configurazione del proxy che utilizzano filtri basati sul contenuto o filtri basati su URL del sito Web?).

Se una macchina invia traffico dal dominio in elenco bianco, avvisi proxy e quindi ho bisogno di analizzare manualmente la macchina.

Domanda:

Come faccio a sapere a quale applicazione / porta / processo di esecuzione si sta verificando il traffico?

C'è un altro modo per fermarlo? Gli strumenti di scansione malware non hanno identificato nulla sul sistema.

Se consiglio a sysadmin di installare disconnect, ghostery, blur, donottrackme e adblockplus come ad-dons, il numero di report generati dal proprio proxy verrà ridotto o no?

Qualsiasi altra soluzione permanente o soluzione di impostazione globale?

    
posta FrOgY 15.04.2015 - 16:52
fonte

2 risposte

1

Non sarai in grado di dire l'applicazione / porta / processo in base al solo traffico di rete. Per fare ciò, dovrai analizzare i log sull'endpoint.

I componenti aggiuntivi che hai citato per bloccare gli annunci ti aiuteranno a ridurre il rumore che stai vedendo, dal momento che immagino che stai vedendo un sacco di traffico pubblicitario casuale legato ai legittimi siti in white list a cui gli utenti stanno navigando. Internet moderno è molto rumoroso con quella roba.

Raccomando di raccogliere i registri da due punti:

  • I firewall di confine che bloccano tutto il server HTTP / S tranne il server proxy come sorgente - in questo modo se una macchina sta tentando di collegarsi a un server C & C attraverso un processo che non è a conoscenza del proxy (anche malware dropper / Trojan downloader) verrà rifiutato e ne avrai visibilità.
  • SysMon su ciascun endpoint con il tracciamento del processo e il tracciamento della rete abilitati. In questo modo è possibile connettersi al registro eventi remoto durante una risposta incidente per tenere traccia di quali processi stavano comunicando su quali porte, ecc., O ancora meglio utilizzare Syslog o SIEM per aggregarli in una posizione centrale per la revisione.

Dovrai applicare una certa discrezionalità analitica quando sarai avvisato su questa roba; i siti di annunci noti e i redirector probabilmente accompagneranno la navigazione tipica, SysMon ti dirà quale browser è stato utilizzato, ma i log della cronologia dei browser potrebbero essere cancellati (o in incognito) e ricorda che alcuni malware sono a conoscenza del proxy.

    
risposta data 15.04.2015 - 17:26
fonte
0

How can I know due to which application/port/running process that traffic is occurring?

Esegui netstat -ABN dalla riga di comando sul punto finale. Questa è un'istantanea in tempo reale, quindi dovrai eseguirla mentre si sta verificando.

    
risposta data 16.04.2015 - 20:40
fonte

Leggi altre domande sui tag