Revisar las conexiones de red
Last updated
Last updated
El programa espía necesitará en algún momento transmitir los datos recopilados (como capturas de pantalla, contraseñas, pulsaciones de teclas, etc.) a una ubicación remota, el servidor de . Aunque no es posible predecir exactamente cuándo se producirá dicha transmisión, es posible que algún programa espía establezca una conexión permanente con el servidor, o que se conecte con suficiente frecuencia como para que usted pueda detectarlo.
Para verificar si existen conexiones en curso puede, por ejemplo, registrar todo el tráfico de la red utilizando e inspeccionar posteriormente los resultados almacenados. Sin embargo, un enfoque más interesante es usar herramientas que no sólo monitoreen la actividad de la red, sino que también puedan asociarlas a procesos en ejecución. En general, debería buscar procesos inusuales que se conecten a direcciones IP sospechosas.
Una herramienta popular para este propósito es , también de la Sysinternals Suite by Microsoft.
Esta herramienta es bastante sencilla: presenta una lista de todas las conexiones de red establecidas y proporciona información sobre el proceso de origen y el destino. Probablemente se sorprenderá al observar la cantidad de conexiones de red activas incluso con sistemas aparentemente inactivos. Lo más frecuente es que vea actividad de red procedente de procesos en segundo plano, por ejemplo para servicios de Microsoft, Google Chrome, Adobe Reader, Skype, etc.
Por ejemplo, en la captura de pantalla anterior podemos ver un proceso iexplore.exe en ejecución que no sólo ha sido marcado como inyectado, sino que parece estar intentando conectarse activamente a la IP remota 216.6.0.28. Dado que no hay ningún Internet Explorer visible ejecutándose en el sistema, es definitivamente sospechoso ver conexiones de red activas provenientes de este proceso. TCPView mostraría lo siguiente en el mismo sistema infectado:
(Nota: estas herramientas muestran intentos de conexión a ubicaciones remotas incluso si la computadora está en ese momento desconectada de Internet).
Esto sugiere que el iexplore.exe inyectado estaba intentando conectarse de forma muy sospechosa a una dirección IP ubicada en Siria. De hecho, con fines demostrativos, utilizamos una copia antigua de DarkComet RAT que se encontró utilizada en Siria alrededor de 2011.
Otra herramienta que podemos usar para observar las conexiones de red activas es CrowdInspect, que mostramos en la sección anterior sobre la . La información que proporciona CrowdInspect es muy similar a la que ofrece TCPView.
Cuando sospeche de una conexión activa, puede (preferiblemente desde otra computadora) buscar la dirección IP e intentar determinar a quién pertenece y si se sabe que es buena o mala, utilizando por ejemplo herramientas en línea o . Por ejemplo, una simple búsqueda WHOIS para esa dirección IP devolvería:
Incluso una simple búsqueda de la dirección IP a través de su motor de búsqueda preferido podría revelar información útil. Además, podría considerar el uso de servicios de investigación de amenazas como o para verificar si tienen alguna información sobre las direcciones IP o los nombres de dominio con los que se encuentre.
