NetStat y Troyanos haciendo NAT

Buenas,

Quería haceros una pregunta acerca de netstat.

Cuando lo ejecuto en mi ordenador, tal que así: netstat -an -p -tcp

Me aparece estas lineas, entre muchas otras:

Proto ---- Dirección Local ----- Dirección remota ----- Estado
TCP ---- 0.0.0.0:912 ----- 0.0.0.0:0 ------- Listening
TCP ---- 0.0.0.0:49152 --- 0.0.0.0:0 ------- Listening
TCP ---- 0.0.0.0:3389 ---- 0.0.0.0:0 --------- Listening

Mi pregunta es la siguiente:

-Es normal que mis tarjetas de red (0.0.0.0 hace referencia a todas mis tarjetas de red hasta donde tengo entendido) es normal, decía, que esté escuchando en el 3389 porque tengo el escritorio remoto habilitado en este ordenador, pero lo que no entiendo es porque están escuchando (listening) los puertos locales 912 y 49152 (entre muchos otros que veo en el listado). Es decir ¿Si está escuchando mi ordenador en esos puertos significa que hay un software de servidor detrás de esos puertos, al igual que detrás del puerto 3389 está el software Escritorio Remoto?

Otra pregunta:

En caso de que el puerto 912 fuera un programa servidor de Troyano, y el atacante tuviera en su pc la parte cliente del troyano que ha infectado mi ordenador, no necesitaría hacer mi atacante NAT en mi router hacia el puerto 912 , ya que yo como víctima soy el servidor y él como atacante es el cliente del programa Troyano?

Muchas gracias de antemano !

loureed4, tranquilo que puede ser que sean procesos no maliciosos. Modifica un poco la línea de comandos de netstat y lo tendrás más claro:
En mi caso, por ejemplo, el puerto 912 corresponde a:

El 676 que aparece es el PID. En el Administrador de Tareas > Procesos tendrás información sobre el usuario que inicia el proceso, carga de CPU y memoria usada. Si se trata de un proceso a partir de un servicio, consulta los Servicios para ver la ruta del ejecutable.

Muchas gracias por responder.
La verdad es que es de gran utilidad el hecho de ver el ejecutable que hay detrás de cada conexión, no entiendo como suelo leer en google que se haga un netstat -an y se verán las conexiones activas, etc, y en ningún sitio había visto estas opciones.

Mea culpa porque miré la ayuda de netstat en el símbolo del sistem pero no muy exhaustivamente.

Muchas gracias por tu tiempo!

De todas maneras me gustaría insistir en la segunda parte de mi duda, que cito textualmente:

" En caso de que el puerto 912 fuera un programa servidor de Troyano, y el atacante tuviera en su pc la parte cliente del troyano que ha infectado mi ordenador, no necesitaría hacer mi atacante NAT en mi router hacia el puerto 912 , ya que yo como víctima soy el servidor y él como atacante es el cliente del programa Troyano? "

Muchas gracias por tercera vez !!!

loureed4, los Troyanos pueden usar, de necesitarlo, varias técnicas para realizar NAT, por ejemplo NAT-PMP (usado también por Skype para conexiones persistentes), uso de SSDP (para descubrimiento de dispositivos), etc, etc.

Muchas gracias de nuevo !

Por ver si me he enterado:

El atacante consigue colarte la parte servidora del troyano en tu pc bajo apariencia inofensiva, abriendo el puerto X para escuchar al cliente, el cual está instalado en la máquina del atacante.

Desde la máquina del atacante, aunque en principio no pueda acceder al puerto X porque no está abierto en el router de la víctima, él es capaz de abrirlos por diversos métodos.

A partir de ahi mis defensas:
-Buen antivirus (Avast o AVG uso mucho) , versión free
-Firewall personal (ZoneAlarm o Sygate leo que son los mejores)
-Monitorizar netstat en busca de procesos "Established" o "listening" y ver que está escuchando esos listen.

He bajado el Security Task Manager y me indica que el proceso C:\Archivos de programa\GNU\GnuPG\dirmngr.exe es potencialmente peligroso , cuando es simplemente la versión gratuita (Licencia Linux GNU) del programa de pago PGP. Me lo detecta con un ratio del 74%.

Ando un poco perdido con esto del netstat todavía, aunque no pararé hasta tenerlo claro.

Muchas gracias por tu tiempo !

Efectivamente, dirmngr.exe es un proceso que corresponde a un servicio o demonio para temas de certificados GnuPG, etc., eso sí, es lícito.

Creo recordar que Avast ya tiene un firewall integrado. Con lo que, si es así, no te hará falta más. no estaría de más alguna herramienta tipo Malwarebytes y tener siempre parcheado el sistema y programas usados (navegados, clientes de correo, etc).

Ojo con el tema del "troyano bajo apariencia inofensiva", suelen entrar mediante descarga de programas de sitios no confiables o redes p2p, páginas con scripts o contenidos ejecutables, mensajería, correo (adjuntos o enlaces), etc.

Gracias por responder,

Osea, que a pesar de ese 74% que indica Security Task, es lícito.

Hasta donde yo sé Avast Home no viene con Firewall, aunque viene con muchas funcionalidades, lo llevo usando mucho tiempo, desde que casi nadie lo conocía, pero no estoy 100% seguro porque siempre instalo el Home, nunca el Premium o Suite.

El Sist Operativo y Aplicaciones siempre actualizados, totalmente de acuerdo, es una regla de oro que aplico siempre, gracias !

En cuanto a la descarga de programas de páginas no confiables, programas p2p, estoy de acuerdo en que es una de las fuentes más segura de malware, he llegado incluso a leer que con sólo abrir un mail, podías infectarte, sin necesidad de adjunto powerpoint o imagen. En cuanto a los páginas con scripts , los antivirus no los cazan? Me imagino a estas alturas la industria de los antivirus debe saber de esas webs con scripts.

Quedo muy agradecido por tus prontas respuestas !!!

Un saludo desde Sevilla, España.

Los buenos troyanos son de "resolución inversa", o sea, es el troyano el que se pone en contacto con el atacante iniciando una conexión atravesando el router de la victima. No hay que hacer NAT ni nada parecido.

Por eso es importante tener algún tipo de filtro en plan firewall en el router de tal forma que solo se autorice la salida por los puertos normales. Esto no evitaría que un troyano no saliera por el puerto 80, pero al menos es un filtro más.

Saludos
Hooker

Muchas gracias HookerSP por responder.

Quiero llegar al fondo de todo esto de los troyanos, estoy haciendo un curso online de Seguridad informática campo que me parece el más importante o de los más, ya que es la puerta de tu casa, de tu negocio, a la que pueden acceder o no dependiendo de lo bueno que seas como hacker (no confundir con cracker).

Gracias.

P.D: Este fofo lo había visto mucho por google, buscando cosas, pero no sabía que era tan activo !

Enhorabuena a sus creadores !!!!

No olvides que los troyanos solo son una parte, y te aseguri que mínima. La mayoría de las fugas de información en las empresas es por empleados descontentos y similar.

Suerte
Hooker

Gracias por contestar Hooker (John Lee ? )

Si, algo había escuchado de "el enemigo está dentro" osea, lo que tú dices, leí incluso que el 80% ni más ni menos, de los ataques, eran desde la LAN, me quedé asombrado porque yo creía que era debido a la no-educación del usuario, es decir, abrir correos en cadena , de remitentes desconocidos con Asuntos de ingeniería social, bajarse programas de páginas poco fiaables, P2P, etc.....pero no que fueran intencionados.

Es interesante saber que el 80% (tanto??) de los ataques son desde la LAN (un ARP Spoofing?)

Gracias !

Pues si, lo de Hooker en en honor a John Lee, que me apasiona.

Veamos.

Cuando digo que es por culpa de usuarios me refiero a que alguien copia en un pendrive información que no debe o la saca fuera para hacerla publica o la vende. Lo de los exe y los powerpoint es cierto que es una fuente de problemas. Hay herramientas para intentar evitar riesgos, pero poco efectivas si el usuario no pone de su parte.

Saludos
Hooker

Hola Hooker,

Yo soy muy musiquero, pero no he escuchado demasiado a J.L Hooker la verdad.

Gracias por tu tiempo y respuestas !!