- Se ocultan con Rootkits
- Se propagan rápidamente vía web
- Existe muchísima variedad y cada vez más
- Muchos son 0-day que antes de ser descubiertos puede pasar mucho tiempo
La solución que propongo es enjaular un Windows en una máquina virtual, exponer a Windows como cebo para los troyanos (navegando con IE sin cuidado) y monitorizar las conexiones de red dentro de Windows y fuera de él (mediante el S.O. anfitrión) durante días.
Comparando ambos resultados, las conexiones remotas que estén registradas fuera de Windows y que no estén registradas dentro de Windows son, seguramente conexiones realizadas por rootkits troyanizados.
En esta presentación en PDF muestro cómo realizarlo con el siguiente software:
Comparando ambos resultados, las conexiones remotas que estén registradas fuera de Windows y que no estén registradas dentro de Windows son, seguramente conexiones realizadas por rootkits troyanizados.
En esta presentación en PDF muestro cómo realizarlo con el siguiente software:
- Ubuntu Linux 9.10
- Virtual Box 3.0.8 para Linux
- Windows, preferiblemente un XP pelado
- Internet Explorer 6
- WinPcap y WireShark
No hay comentarios:
Publicar un comentario