Como descobrir conexões suspeitas

Como descobrir conex§es suspeitas
Vários malwares podem baixar e enviar dados de seu computador sem que você saiba. Veja como monitorar suas conexões para detecção de comportamento suspeito de sua máquina.





Primeiro vamos relembrar algumas coisas:

Porta 80 : servidores HTTP (web sites)
Porta 443: servidores HTTPS (web sites com criptografia)
Porta 21: servidores FTP (transferências de arquivos)
Porta 25 e 587: Servidores SMTP (envio de emails)
Porta 23: telnet (acesso remoto via linha de comando)
IP:127.0.0.1 (IP local)

Abra o Prompt de comando e digite netstat –n

 

Veja as conexões que temos, observe o endereço externo:
Se você não tem nenhum servidor instalado em seu PC, basicamente temos:
Conexões do navegador entre a própria máquina (IP: 127.0.0.1)
Conexões na porta 80 e 443 (Websites que você está visualizando)

Note que tem um número enorme de conexões de websites, isto acontece porque quando você entra em um site você acaba carregando banners, iframes, etc... de outros sites em outros servidores.

O primeiro passo para detectar conexões suspeitas é conhecer seu computador, veja quais programas você usa que necessita de internet. Feche estes programas, mas pode ficar com o navegador aberto.

Na teoria qualquer conexão remota que não esteja utilizando a porta externa 80 ou 443 pode ser considerada suspeita. Na teoria é simples, mas na prática você teria que ficar observando a lista enorme de dados gerados pelo netstat e sempre ficar atualizando o netstat, o que torna o monitoramento inviável.
Para resilver este problema vamos utilizar o local monitor.

Vejas as vantagens:
O local monitor irá filtrar automaticamente conexões de websites.
Constante atualização da lista de conexões.

Abra o local monitor:

 



Note que temos:
 


Estas são conexões de websites omitidas que não nos interessam.

Agora vou clicar em um malware e deixar que ele infecte a maquina.

 

Veja a tela do Local Monitor.
 

 
Note que temos uma conexão no IP 200.147.99.132 na porta 587



Lembre que esta porta é utilizada em servidores SMTP (envio de emails).
Portanto meu computador pode estar enviando senhas salvas em meu navegador, dados bancários, textos digitados etc, para algum email.

O local monitor detecta o país do servidor remoto.

 

Se você quiser mais detalhes sobre o endereço, utilize o atalho para o hostip no site da Insecuritynet ou qualquer outro geolocalizador de IP de sua preferência.
http://www.insecuritynet.com.br/ferramentas-online/localizar-ip


 
 Você não precisa ficar observando o local monitor o tempo todo, pois estas conexões suspeitas estarão salvas em um LOG:

 


Importante:
O Local monitor não é um firewall mas sim uma ferramenta para você poder monitorar melhor sua máquina e conhecer melhor seu PC.
Não confie sua segurança apenas em antivírus, firewall, etc. Conheça sua maquina, tome cuidado com os programas que você instale e em caso de suspeitas monitore suas conexões.
Este foi apenas um pequeno exemplo, mas é importante que você estude sobre portas, protocolos, estados das conexões, para mais informações participe de nosso Curso  Arquitetura e Segurança em Comunicação de Dados.

Assista este vídeo sobre o local monitor:




 Download do Local Monitor
S.O: Windows XP/7/8
Formato: RAR


  • 06/02/2014

  • by Insecuritynet

Compartilhar

logo