Estoy observando tráfico de red dirigido hacia un dominio sospechoso. Si bien no puedo ver los datos que se transmiten ni identificar el programa de origen, lo bloqueé temporalmente usando el archivo hosts. Los análisis antivirus no han revelado ningún malware.
¿Existen métodos avanzados para determinar el tipo de datos que se envían y el programa responsable de estas conexiones?
Las solicitudes son el método de publicación y se ven así:
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
Respuesta1
Si bien los detalles pueden variar, creo que esto tiene dos partes.
Para identificar el programa que está haciendo esto, puede utilizar netstat. Yo elegiría netstat -baf (b para binario, a para todas las conexiones y puertos de escucha, yf para FQDN), luego, después de ejecutarlo un rato, inspecciono visualmente qué programa se está conectando a ese nombre de dominio.
En cuanto a qué datos (puede usar un filtro de paquetes), mi enrutador me permitirá ejecutar tcpdump, pero sería útil algo como pktmon (nativo de Windows y ya preinstalado de forma predeterminada) o Wireshark. Dado que sus conexiones son http, enteoríadeben estar en texto plano y ser interpretables. Si bien puede que no sea directamente aplicable, puede encontrar un ejemplo de un análisis rápido desalida tcpdump aquí- No puedo imaginarme a Wirehark y/o pktmon siendotambiéndiferente