Hallo zusammen,
habe leider nur wenig zum Thema "keylogger / trojaner im netzwerktraffic erkennen" gefunden. Wie verschicken denn die keylogger und / oder trojaner ihre erspähten Infos an ihren Master ? Einzige Info, die ich bisher hab, ist z. B. smtp oder Verbindungen ins IRC.
Hintergrund ist der, das wir mal testen wollen, wieviele Rechner im LAN infiziert sind und hierfür den Traffic am Hauptrouter analysieren wollen. Frage ist eben, wonach wir suchen sollen. Womit ist bekannt.
Klar kann man versuchen, bestimmte Dienste / Ports gar net erst rauszulassen, was auch so schon realisiert wurde, es geht halt erstmal darum zu sehen, wie stark das Netz kompromittiert ist.
Danke schonmal für Rückinfos !
keylogger / trojaner im netzwerktraffic erkennen
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Du hast Dir die Antwort ja quasi schon selber gegeben: an der Firewall mitprotokollieren, von welcher Station beispielsweise ein SMTP-Connect direkt nach aussen gemacht wird. Ich habe da einen Kunden, der sich regelmässig immer solchen Kram auf seinen Windows-Kisten einfängt, ich protokolliere alles auf dem Linux-Gateway mittels iptables und kann so leicht sehen, von welchen PCs regelmässig verucht wird, "ungewöhnliche" Dinge nach draussen zu tun.
Es gibt Tools, die dann die iptables-Logfiles auch automatisch auswerten und Dir eine Statistik bzw. Analyse präsentieren.
Gruss, mistersixt.
Es gibt Tools, die dann die iptables-Logfiles auch automatisch auswerten und Dir eine Statistik bzw. Analyse präsentieren.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
Hallo mistersixt,
danke erstmal für die Antwort.
<<"ungewöhnliche" Dinge nach draussen zu tun.
Hier ist doch der springende Punkt, was sind die ungewöhnlichen Dinge ?
SMTP, IRC sind mir bekannt, aber das ist auch schon alles. Gibts evtl. Listen mit IP-Adressen, die bekannt sind als Übertragungsziele, oder bestimmte gewöhnlich verwendete Ports, oder sonstige Auffälligkeiten im Netzwerktraffic, die auf Trojaner / Keylogger schliessen ?
--> Die Suchpatterns fehlen mir, wonach soll ich den Traffic scannen, eben ausser SMTP und IRC.
danke erstmal für die Antwort.
<<"ungewöhnliche" Dinge nach draussen zu tun.
Hier ist doch der springende Punkt, was sind die ungewöhnlichen Dinge ?
SMTP, IRC sind mir bekannt, aber das ist auch schon alles. Gibts evtl. Listen mit IP-Adressen, die bekannt sind als Übertragungsziele, oder bestimmte gewöhnlich verwendete Ports, oder sonstige Auffälligkeiten im Netzwerktraffic, die auf Trojaner / Keylogger schliessen ?
--> Die Suchpatterns fehlen mir, wonach soll ich den Traffic scannen, eben ausser SMTP und IRC.
Hi,
das ist ein klassisches Problem...und es hat keine _einfache_ Lösung.
Allerdings: Du solltest eine gute Idee haben was in Deinem Netz legalerweise/Acceptable-Use-Policy-weise erlaubt ist/gemacht wird. Alles andere wäre dann per Definition 'ungewöhnlich'. Dem solltes Du nachgehen und lernen, ob es tatsächlich 'ungewöhnlich' ist.
Gruß
admappr
das ist ein klassisches Problem...und es hat keine _einfache_ Lösung.
Allerdings: Du solltest eine gute Idee haben was in Deinem Netz legalerweise/Acceptable-Use-Policy-weise erlaubt ist/gemacht wird. Alles andere wäre dann per Definition 'ungewöhnlich'. Dem solltes Du nachgehen und lernen, ob es tatsächlich 'ungewöhnlich' ist.
Gruß
admappr