Identificazione del traffico crittografato sospetto [duplicato]

3

In primo luogo, accolgo con favore un titolo migliore per questa domanda. Ammetto di essere un debuttante della sicurezza.

Sto cercando di determinare se ho malware e cosa potrebbe fare quel malware. Usando Wireshark, vedo diversi flussi sospetti, compresi gli indirizzi che terminano in .ln e .ch che inviano tutti i dati crittografati. Quando eseguo whois scade sempre, a meno che non specifichi esplicitamente il server whois da usare (questo è di per sé sospetto), quindi ho fatto ricorso a un client online link .

Uno stream più coerente presente va a lga15s42-in-f21.1e100.net, ogni pochi secondi e invia TLSv1.2. I pacchetti sono spesso di dimensioni fisse (60, 107, 125) ma a volte sono di dimensioni più grandi e non ripetute.

~ La voce whois per 1e100.net è particolarmente sospetta per me. ~ Grattalo. Ho avuto accesso non valido digitando il nome errato. L'effettiva voce è per Google, Inc., che riduce notevolmente il sospetto di questo traffico.

Domanda modificata, poiché il traffico sembra essere diretto a Google: perché Google invia queste informazioni su TLS su una porta non standard? È fondamentalmente il modo in cui dovrebbero inviare query di background? È fastidioso perché ad un debuttante della sicurezza (o del resto non è un novizio), tale traffico aggiunge rumore. Sarei più felice se tali interrogazioni riguardassero testi chiari su protocolli standard, poiché sto cercando di capire se sono stato rootato.

ps. Dovrebbe aver menzionato, il computer in questione è un MacBook Air Retina Pro, con OS X 10.9.3.

    
posta Jason Boyd 22.07.2014 - 15:57
fonte

2 risposte

4

Il dominio è 1e100.net ma la voce whois che mostri è per le100.net , con l , non a 1 (se questi sembrano essere uguali per te, quindi scegli un font migliore ).

Il dominio 1e100.net è molto più legittimo e il suo nome è una specie di scherzo. Infatti, se fai una richiesta di whois su di essa, ottieni:

Domain Name: 1e100.net
Registry Domain ID: 
(...)
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA

che significa che il dominio è registrato nientemeno che da Google. Lo scherzo è un riferimento al Googol , un termine per l'enorme numero intero 10 100 , che sarebbe scritto nella cosiddetta notazione scientifica "1e100".

Il dominio utilizzato da Google è documentato da Google, . In sostanza, stai osservando un prodotto Google (ad esempio, Chrome) che prova a parlare con la sua base di partenza, probabilmente per sapere se è disponibile una nuova versione o come parte di un meccanismo di ricerca Google / Google+ / qualunque. Non è un malware.

    
risposta data 22.07.2014 - 16:06
fonte
2

Potrebbe essere in grado di chiarire se fornisci un sistema operativo.

Se vedi traffico sospetto proveniente dalla tua macchina verso alcuni nomi host sospetti, dovresti provare a vedere quali file / programmi sono in esecuzione sulla tua macchina producendo il traffico. È possibile che non siano dannosi, ma se lo sono, ci deve essere qualche applicazione che invia / riceve dati. Se si esegue un rootkit, è possibile nascondere questi processi dagli strumenti di monitoraggio. Tuttavia, puoi comunque iniziare con strumenti come netstat e lsof o Process Explorer su windows.

Alcuni post / articoli utili sul rintracciare l'attività:  - Errore del server: come può Trovo quale processo invia i dati a una porta specifica ?  - Tech Republic: traccia le connessioni di rete con LSOF su Linux

Se non puoi associare il traffico a nessun programma o processo, questo potrebbe indicare che esiste un qualche tipo di rootkit.

Non ho provato questa app, ma sembra simile alle offerte di Sysinternals e potrebbe aiutare: Process Hacker .

    
risposta data 22.07.2014 - 16:01
fonte

Leggi altre domande sui tag