lunes, 8 de octubre de 2018

netstat . . analisis ..:: VT + MyIP + Path PID

netstat . . analisis ..:: VT + MyIP + Path PID

netstat parte del sistema MSW ejecutable en Simbolo del Sistema y Windows-PowerShell . . .
Analizando las conecciones establecidas enviando las IPs a VirusTotal (deteccion de malware), MyIP (localizacion Corp) y Ruta del proceso PID (mucho malware se ejecuta con nombres del sistema pero de una distinta hubicacion; por eso es importante)

Aprovechando el nativo netstat.exe . . . mucha informacion util en CMD pero manejarla y andarla analizando es un fastidio. . . como el conocer la hubicacion del proceso y con quien conecta que puede ser peligroso . . .



Asi llego con el siguiente metodo loco de analizar . . en PowerShell
Entre las lineas punteadas inferior lo propuesto ..::
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
#----------------------------------------------------------------------
# netstat analisis ..:: VT + MyIP + Path PID
#----------------------------------------------------------------------
# numero de logs a tomar, lapso en segundos entre logs tomados
$logs = for ($i=1; $i -le 5; $i++) 
{
(netstat.exe -ano)
Start-Sleep -Seconds 5
}
# descartar direcciones remotas 0.0.0.0:0 , 127.0.0.1:\d+  y unificarlas
$logz = $logs | select-string "Established" | Where-Object {$_ -notmatch '^[ ]+[A-Z][A-Z][A-Z][ ]+127\.0\.0\.1\:\d+'} | Sort-Object -Unique
#
# dejando solo "Direcciones remotas" para VT
$IPR = $logz | Foreach-Object {$_ -Replace('^[ ]+[A-Z][A-Z][A-Z][ ]+\d+.\d+.\d+.\d+\:\d+[ ]+', '')} | Foreach-Object {$_ -Replace(':\d+[ ]+ESTABLISHED     \d+$', '')} |Foreach-Object {$_ -Replace(' +$', '')} | Sort-Object -Unique
#
# analizando VT+MyIP+PID
$results = Foreach($Urll in $IPR)
{
@(" - - - - - - - - - - - - - - - - - - - - - ")
$MIPList = $Urll | foreach {"https://myip.es/" + $_ }  
$webb = Invoke-WebRequest -Uri $MIPList
Start-Sleep -Seconds 0.5
$webb.tostring() -split "[`r`n]" | select-string "^\<..\>\<..\>Direcci..n IP:" , "^\<..\>\<..\>Registro PTR:" , "^\<..\>\<..\>Organizaci..n:" , "^\<..\>\<..\>ISP:" , "^\<..\>\<..\>Ciudad:" , "^\<..\>\<..\>Pa..s:" , "^\<..\>\<..\>Estado:" | Foreach-Object {$_ -Replace('^\<..\>\<..\>','')} | Foreach-Object {$_ -Replace('<...><...>$','')} | Foreach-Object {$_ -Replace('<...><..>','  ')} | Foreach-Object {$_ -Replace('Direcci..n IP:','Direccion IP:')} | Foreach-Object {$_ -Replace('Organizaci..n:','Organizacion:')} |  Foreach-Object {$_ -Replace('Pa..s:','Pais:')}
#
$VTList = $Urll | foreach {"https://www.virustotal.com/es/url/submission/?force=1&url=" + $_ } 
$web = Invoke-WebRequest -Uri $VTList
Start-Sleep -Seconds 0.5
$web.tostring() -split "[`r`n]" | select-string "detection-ratio..\d+"| Foreach-Object {$_ -Replace('^ ','')} | Foreach-Object {$_ -Replace('<strong.*id=','VirusTotal  ')} | Foreach-Object {$_ -Replace('.span...strong>$','')}
#
# para cada direccion remota . . . obtener informacion + ruta de cada proceso PID
$IDs = $logz | Select-String -Pattern $Urll | Foreach-Object {$_ -Replace('^.+ESTABLISHED', '')} | Sort-Object -Unique
# obteniendo ruta de proceso
Foreach($ID in $IDs)
{
Get-Process -Id $ID | Select-Object -ExpandProperty Path
}
# netstat
Foreach($ID in $IDs)
{
@(" . . . . . . . netstat  . . . . . . . ", "  Proto  Dirección local          Dirección remota        Estado           PID ")
$logz | Select-String -Pattern $ID | Select-String -Pattern $Urll
}
@(" - - - - - - - - - - - - - - - - - - - - - ")
$results
#
# Borrar temporales .tmp; Remove-Item "result*.tmp"
# Limpíar variables
Clear-variable -Name "IPR", "logs", "logz", "URLList", "results", "Urll", "MIPList", "VTList", "web", "webb", "IDs", "ID" -ErrorAction SilentlyContinue
#. . . . .
#----------------------------------------------------------------------

Abajo. Ejemplo de los resultados obtenidos ..::
Notese como procesos del sistema no son localizables; ya se sabia de eso sin embargo se identifican facil por su Organizacion mencionando generalmente Microsoft.
Notese proceso "Agr-privoxy.exe" que es solo privoxy (yo le añadi agr al nombre) en mi caso es la puerta para varios programas por lo que es normal que aparezca varias veces.

-------------------------------------------------------------------------
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  104.28.29.47
Registro PTR:
Organizacion:  Cloudflare
ISP:  Cloudflare
Ciudad:
Pais:  United States
Estado:
    VirusTotal  "detection-ratio">0/68<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID

  TCP    272.168.0.109:12419    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12439    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12445    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12446    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12447    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12452    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12454    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12458    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12459    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12460    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12461    104.28.29.47:80        ESTABLISHED     5388
  TCP    272.168.0.109:12462    104.28.29.47:80        ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  172.217.12.42
Registro PTR:  dfw28s04-in-f10.1e100.net
Organizacion:  Google
ISP:  Google
Ciudad:
Pais:  United States
Estado:
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12412    172.217.12.42:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  172.217.12.46
Registro PTR:  dfw28s04-in-f14.1e100.net
Organizacion:  Google
ISP:  Google
Ciudad:
Pais:  United States
Estado:
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12415    172.217.12.46:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  184.29.148.31
Registro PTR:  a184-29-148-31.deploy.static.akamaitechnologies.com
Organizacion:  Akamai Technologies
ISP:  Akamai Technologies
Ciudad:
Pais:  United States
Estado:
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12364    184.29.148.31:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  192.0.77.32
Registro PTR:  wordpress.com
Organizacion:  Automattic
ISP:  Automattic
Ciudad:
Pais:  United States
Estado:
    VirusTotal  "detection-ratio">1/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12411    192.0.77.32:443        ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  216.58.194.46
Registro PTR:  dfw25s12-in-f46.1e100.net
Organizacion:  Google
ISP:  Google
Ciudad:  Mountain View
Pais:  United States
Estado:  California
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12365    216.58.194.46:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  216.58.194.99
Registro PTR:  dfw06s48-in-f3.1e100.net
Organizacion:  Google
ISP:  Google
Ciudad:  Mountain View
Pais:  United States
Estado:  California
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12413    216.58.194.99:443      ESTABLISHED     5388
  TCP    272.168.0.109:12421    216.58.194.99:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  23.193.33.105
Registro PTR:  a23-193-33-105.deploy.static.akamaitechnologies.com
Organizacion:  Akamai Technologies
ISP:  Akamai Technologies
Ciudad:
Pais:  United States
Estado:
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12414    23.193.33.105:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  87.240.129.71
Registro PTR:  srv71-129-240-87.vk.com
Organizacion:  VKontakte Ltd
ISP:  VKontakte Ltd
Ciudad:
Pais:  Russian Federation
Estado:
    VirusTotal  "detection-ratio">0/67<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12381    87.240.129.71:443      ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
 - - - - - - - - - - - - - - - - - - - - -
Direccion IP:  87.240.182.229
Registro PTR:  srv229-182-240-87.vk.com
Organizacion:  VKontakte Ltd
ISP:  VKontakte Ltd
Ciudad:
Pais:  Russian Federation
Estado:
    VirusTotal  "detection-ratio">0/65<
C:\Users\usuaro\ProgramasPortables\Agr-privoxy\Agr-privoxy.exe
 . . . . . . . netstat  . . . . . . .
  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    272.168.0.109:12382    87.240.182.229:443     ESTABLISHED     5388
  TCP    272.168.0.109:12386    87.240.182.229:443     ESTABLISHED     5388
  TCP    272.168.0.109:12417    87.240.182.229:443     ESTABLISHED     5388
  TCP    272.168.0.109:12456    87.240.182.229:443     ESTABLISHED     5388
 - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Imagen inferior vista desde PowerShell . . .


- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

La salida de respuesta depende de su conecxion . . XD . . sin embargo mi proveedor de servicio de internet es un asco . . y me analiza bastante rapido . . que se divierta . . XD
...
..
.
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)