リスニングネットワークによるキーロガーの検出
マルウェアはしばしばキーロガーを使用することが知られています。また、一部のウイルスはアンチウイルスによって検出されないため、一部のウイルス、特にAPTは何も検出されずにシステムに長期間留まる可能性があります。キーロガーのアクティビティを見つけることができれば、ウイルスを検出する可能性が高まると思います。APT(私の本当の目的はAPT )。
ネットワークトラフィックを確認することでキーロガーのアクティビティの可能性がありますを検出するソフトウェア(またはシステム)が必要です。そのようなソフトウェアはありますか?このソフトウェアはリアルタイムで動作している必要はありません。毎日の分析を行うツールであったり、インシデント対応ツールであったりします。
キーロガーは、収集したデータをさまざまな方法で送信できます。
- メールで送信しました
- それらを暗号化してメールで送信する
- FTP/SFTPサーバーにファイルをアップロードする
- GET/POST暗号化パラメーターでHTTPリクエストを使用する
- 他のプロトコルを使用してデータを送信します。特別に細工されたDNS要求を作成して、フィルタリングされたデータを正当なDNS要求に隠すことができます。また、パケットヘッダーの予約ビットを使用して、そこにデータを隠すこともできます。
- 等
ご覧のとおり、データを送信する可能性はたくさんあり、特定のツールがこれらの可能性をすべて検出できる可能性はかなり低いです。これは、そのようなツール(Snortなど)を使用しても、全体的なセキュリティレベルが向上しないことを意味しません。
対象とする特定のキーロガーがあり(その仕組みがわかっている場合)、Snortルールを作成してタスクを実行できます。
あらゆる種類のトラフィック監視ツールがこれを行います。実際、大企業ではセキュリティに不可欠であると見なされています。侵入が発生するため関係ありません導入されているセキュリティの強度。
これらのツールは、世界で最も広く使用されているIDS/IPSであるオープンソース Snort から、すべての主要ベンダーのアプライアンスやシステムに至るまで実行されます。
検索したい検索用語は [〜#〜] siem [〜#〜] -であり、攻撃を見つけようとするだけでなく、通信チャネルの監視を通じて長期の侵入を検出することもできます。