web-dev-qa-db-ja.com

ローカルネットワーク上の感染したデバイスを検出する方法

今日、私はデジタルテレビレコーダーを購入してインターネットに接続した研究者 について読みました -おそらくポート転送を使用して、攻撃者がレコーダーに接続できるようにします。しばらくすると、誰かがTelnetに接続してソフトウェアをアップロードし、ビットコインをマイニングすることができました。

これが可能な場合は、ネットワーク内の他のコンピューターに感染しようとする他のマルウェアがインストールされている可能性があります。これらのデバイスは監視されないため、非表示に最適です。

つまり、平均的なWindowsコンピューターがマルウェアに感染すると、ネットワーク内でテレビレコーダーが検出され、それに感染します。 Windows PCのマルウェアは除去されますが、レコーダーは検出されずに残り、しばらくすると別のコンピューターなどに感染します...

ローカルネットワーク上の感染したデバイスを検出するにはどうすればよいですか?これを防ぐにはどのような方法がありますか?

3
SPRBRN

ネットワーク内のマルウェアのほとんどは、それが生成する奇妙なトラフィックによって検出されます。
たとえば、ネットワーク上のデバイスが既知のボットコマンドおよび制御ネットワークと通信している場合、すぐにそれがわかります。感染したデバイスは、ネットワーク上の他のデバイスとの予期しない通信を試み、これも検出されます。どのトラフィックがアラートを生成するかに関するルールを実装(および調整)します。そのようなルールの1つは、過去14日以内に登録されたアドレスとの通信の試行です。

もちろん、マルウェアがそのような検出を回避する興味深い方法を考え出すとき、それは軍拡競争です。

2番目に一般的な方法は、ウイルス対策スキャンです。新しいマルウェアにはシグネチャはありませんが、最終的にはシグネチャが判明します。

あなたがホームネットワークについて話しているのは知っていますが、同じ手法が適用されます。 Snortのようなものがインストールされていて、Windowsマシンと記事で説明されているDVRの間で許可されるトラフィックに関する署名を記述します。マルウェアの通信により、Snortでアラートがトリガーされ、感染を検出できるようになることが期待されます。

4
mcgyver5