Instalé Cygwin y noté que desde que mi empresa comenzó a usar CrowdStrike Falcon para la detección de comportamientos maliciosos, ejecutar comandos simples como 'ls', 'grep', etc. lleva mucho más tiempo del que solía tomar. Como de 2 a 10 segundos para un simple comando 'ls' en un directorio con solo 4 archivos. Pero todavía se ejecuta, sólo que tarda mucho tiempo en mostrar los resultados (lo que hace de repente al final del retraso de 2 a 10 segundos).
Al principio pensé que quizás CrowdStrike Falcon estaba probando cada programa que se ejecuta (cada vez que se ejecuta) en una VM sandbox durante varios segundos para asegurarse de que no haga nada malicioso... lo cual puede estar haciendo, pero... Mis propios programas C++ escritos en Visual Studio no tardan tanto en ejecutarse.
Entonces comencé a preguntarme: ¿Cygwin se conecta a la red incluso cuando ejecuto 'ls' en un directorio local? Entonces, sin saber mucho sobre el registro de tráfico IP, descargué TCPView de Sysinternals (de la versión real).https://docs.microsoft.com/en-us/sysinternalssitio web, no de ninguno de los otros sitios web que gustosamente proporcionan una copia de las herramientas de Sysinternals junto con su propio software espía añadido, por si acaso).
Con TCPView ejecutándose y ordenado en la columna PID en orden descendente con la esperanza de que eso me brinde una mejor oportunidad de ver procesos más nuevos en la parte superior, ejecuté C:\cygwin\bin\ls desde el símbolo del sistema de Windows. No sucedió nada durante aproximadamente 5 segundos, luego, de repente, apareció una nueva línea y otras dos líneas aparecieron aproximadamente un segundo después con el nombre del proceso "ls.exe", que muestra el tráfico UDP.
¿Por qué ls.exe de Cygwin necesitaría enviar paquetes UDP cuando mi directorio actual estaba en mi unidad C: local y ejecuté ls sin argumentos?