Re: [Hackmeeting] tunnel

Delete this message

Reply to this message
Autore: Claudio
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] tunnel
yattaman ha scritto:
> ma se uno dà un ipconfig e si ritrova un tunnel aperto così (siamo in
> quella merda di xp):
> perdonate la domanda ingenua, ma insomma che cazzo vuol dire? che ho
> un bel troian che si è aperto un tunnel verso terzi?


non so come ti si possa aiutare, l'analisi di un sistema compromesso
(perche' un windows xp senza conoscere ogni cosa che c'e', perche' c'e',
e' plausibilmente compromesso :) e' un'operazione che si fa con molta
piu' difficolta' che "copia incolla della stranezza".

per cui, cerca i tool di sysinternals tra i quali:

1) process explorer, l'equivalente di ps(1) per windows
2) autoruns, roba che ti mostra cosa parte all'avvio, sia come driver
che come software che registry che helper obj dei browser. insomma: e' utile
3) tcpview, cosi' usi un'utility completa che ti dia la visibilita' su
quello che succede sulla rete
4) wireshark, l'unico modo che hai per appurare quello che viene
visualizzato su tcpview sia vero

se stai lavorando su una macchina troianizzata e' possibile che non
venga visualizzato il processo ed il lavoro di I/O del trojan, quindi
dovresti riuscire a lavorare in ambiente non infetto.

questo naturalmente va contro la natura resistente dei trojan, le
soluzioni sono 2:

1) usi un sistema di recovery che fa la differenza tra il sistema
bootato da cd ed il sistema vivo (microsoft ne ha fatto uno ma non
ricordo il nome)

2) ctrl+alt+del, "esegui ..." ed avvi i tool di analisi da li'. questo
non e' risolutivo al 100% ma passare tramite winlogon e la sua
CreateProcess impedisce ad un trojan che gira in userspace di farti
avviare il software d'analisi da una CreateProcess troiana. magari anche
ctlr+alt+del avvi cmd.exe e guardi nelle directory TEMP in quel modo. si
scopre sempre qualcosa di nuovo nelle proprie dir temporanee ... :P