Trovare malware con riga di comando

-
Molte persone rifuggono la linea di comando di Windows a favore di piùcomplicate interfacce grafiche. Ma quando si tratta di indagare sulleinfezioni dovute al malware, vari strumenti da linea di comandopossono essere estremamente utili, in quanto non sempre i tool basatisu GUI riescono a essere totalmente efficaci.Anzitutto, richiamate il prompt dei comandi. Cliccate su Start-->Esegui e digitate cmd.exe. Mettere il suffisso “.exe “ alla fine delcomando è importante: si tratta di un modo molto più sicuro diutilizzare il prompt dei comandi. Per ingannare gli utenti, unprogramma maligno potrebbe appositamente essere chiamato “cmd.com”, ein tal caso, il malware potrebbe funzionare anche se viene digitatosolo “cmd”. Perciò procediamo scrivendo “cmd.exe”.Il comando netstatSuccessivamente, con il prompt dei comandi attivo, eseguire il comandonetstat e date un’occhiata alle porta in ascolto sul vostro sistema.Il omando netstat-na è in grado di fornire un elenco delle porte TCP eUDP sulla macchina. Aggiungere “o” agli argomenti di comando puòrivelare l’identificativo di ciascun processo che sta usando unaporta. E, a partire da XP SP2, aggiungere un flag “b” vi mostrerà ilnome EXE che sta utilizzando ogni porta, insieme alla dynamic linklibrary (DLL) che è caricata per comunicare con la rete. Però fateattenzione a “b”. Questa funzione può appropriarsi di gran parte dellaCPU, usando tra il 60% e il 100% del vostro processore anche per unminuto di tempoMa c’è di più. Supponiamo vogliate controllare l’utilizzo di una portae vedere come cambia nel tempo. Se aggiungete uno spazio e poi unnumero intero al comando netstat, come per esempio netstat-nao 1,verrà eseguito il comando con una frequenza equivalente all'intero (inquesto caso, ogni secondo). Lo schermo verrà continuamente riscritto.Naturalmente, per individuare il malware che utilizza le porte TCP eUDP, avete bisogno di un’idea di come il sistema normalmente usa taliporte. Per individuare le porte in uso in una macchina, provate a fareuna ricerca specifica in Google. Anche, Microsoft ha una lista diporte che comunemente vengono utilizzate sia dai client sia dai serverWindows. È inoltre possibile cercare porte associate sia a Microsoftsia alle applicazioni di terze parti, come pure gli elenchi ufficialidelle assegnazioni delle porte.Se si trova che è usata un’insolita porta TCP o UDP, si potrebbe fareuna ricerca con Google. Usate il comando site: associato a unasocietà di antivirus come Symantec, Sophos, o McAfee. I siti possonoavere una completa descrizione sul malware che utilizza una dataporta. Ecco un esempio di un’utile di query di ricerca:site:symantec.com tcp port 4444 .Il comando regUna completa descrizione da parte di un vendor di antivirus può dareulteriori indicazioni circa eventuali chiavi di registro che ilmalware potrebbe aver alterato. Per interrogare queste chiavi diregistro tramite la linea di comando, usate il comando PI. Anche se ilsito Web dell’antivirus non fornisce alcuna evidente informazionesulle chiavi di registro, vi suggeriamo di cercare le più comunichiavi di registro alterati da malware, quelle associate allo start-updel sistema e al login dell’utente.. Comunemente conosciute comechiavi di registro “run”, il comando reg può aiutare a visualizzare iloro valori tramite la linea di comando. Tenete presente che molto delsoftware legittimo si attiva usando queste chiavi.. Dopo l'esecuzionedel comando, potrete scoprire gli item all’interno di tali chiavi.Ancora una volta, poche ricerche con Google riguardo ciò che èvisualizzato, vi aiuteranno a separare le impostazioni legittime dalmalware.C:\> reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunC:\> reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceC:\> reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunonceConsigliamo di eseguire i comandi con un tempo supplementare,sostituendo HKLM con HKCU. La sostituzione troverà le chiavi diregistro auto-start specifiche per l’utente anziché limitarsi alleconfigurazioni alle impostazioni a livello di sistema sotto HKLM.Il comando dirÈ anche utile per controllare nella cartella di autostart se esiste unqualsiasi programma imprevisto che viene avviato da lì. Eseguite ilvecchio consueto comando dir, utilizzando /A per visualizzare i filecon o senza attributi, così come i file nascosti e non nascosti.C:\> dir /A "C:\Documents and Settings\All Users\StartMenu\Programs\Startup" D: \> Dir / A "C: \ Documents e Settings \ AllUsers \ Menu Avvio \ Programmi \ Startup"I comandi net users e localgroup administratorsAlcuni malware aggiungono un account alla macchina locale. Pertanto, èimportante eseguire il comando net users, che controlla gli accountdefiniti sul sistema. Inoltre, poiché alcuni bot aggiungono un accountal gruppo di amministratori locali, assicuratevi di eseguirelocalgroup administrator, che va a controllare questo particolaregruppo di appartenenza.Il comando tasklist /svcC’è un'altra area vitale da analizzare: i processi in esecuzione. InWindows XP Professional, il comando tasklist è in grado di fornire unaserie di informazioni. Di per sé, mostra i processi in esecuzione, iloro numeri identificativi e la memoria usata. Ma usando tasklist /svcvengono visualizzati tutti i servizi in esecuzione di ogni processo.Questo fornisce maggiori indicazioni per una ricerca quando stateverificando se il sistema indagato può essere infettato con programmimaligni. In particolare, i processi svchost.exe sono generalmenteabbastanza occupati, a causa dell'esecuzione di molti servizi. Glispyware talvolta inseriscono servizi aggiuntivi in questi o altriprocessi per monitorare o controllare una macchina clandestinamente.ConclusioniIn conclusione, questa manciata di comandi è in grado di fornire unaconoscenza più approfondita sulla configurazione di una macchinaWindows. Ma è la pratica a rendere perfetti. Dedicate perciò del tempoad analizzare i sistemi, in modo che cresca la vostra familiarità conciò che si trova su una “normale” macchina Windows. Con un po’ dipreparazione e di pratica, le competenze con la linea di comandomiglioreranno in modo significativo la vostra comprensione dellemacchine Windows e vi prepareranno a combattere strenuamente nellalotta contro il malware.

Commenti

Posta un commento

Post popolari in questo blog

Crack pagina di accesso basata sul Web con Hydra in Kali Linux

-
Immagine
Una password è tecnicamente definita come una stringa segreta di caratteri utilizzata per autenticare o accedere alle risorse. Deve essere tenuto segreto e nascosto ad altri a cui non è consentito accedere a tali risorse. Le password sono state utilizzate con i computer fin dai primi giorni dell'informatica. Uno dei primi sistemi di condivisione, è stato introdotto nel 1961. Aveva un comando di accesso che richiedeva una password utente. Dopo aver digitato “PASSWORD”, il sistema spegne, se possibile, il m eccanismo di stampa, in modo che l'utente possa digitare la propria password con riservatezza. La forza di una password è una funzione della lunghezza, della complessità e dell'imprevedibilità. Misura l'efficacia nel resistere a indovinare o romperlo. Le password deboli, d'altra parte, accorciano il tempo necessario per indovinare e ottenere l'accesso a e-mail personali/aziendali, dati sensibili come informazioni finanziarie, informazioni aziendali, carte di cr
Read more »

Smart Working ai tempi del Covid 19

-
Vi è un aspetto interessante nato durante la pandemia di Covid-19 e che ha rappresentato una svolta epocale dal punto di vista della gestione e la pianificazione delle attività lavorative. Molte aziende hanno dovuto adeguarsi alla necessità di salvaguardare la salute dei propri dipendenti, attuando politiche di tele lavoro concilianti anche con dinamiche di welfare aziendale. Tuttavia questo approccio ha portato ad un paradosso che è stato quello di confondere il tele lavoro con lo smart working e il lavoro agile. Tale distorsione nasce in primo luogo da una base culturale delle imprese, i
Read more »