SP2, nuevos parametros de control de seguridad en comando NETSTAT

TIP – SP2: nuevos parámetros de control de seguridad: NETSTAT

El comando NETSTAT (debe ejecutarse en una consola de comandos: cmd.exe) es un viejo compañero del TCP/IP desde sus inicios y un estándar en todos los sistemas operativos.

Hasta el momento, tanto en Windows, como en Unix / Linux, la única información que nos proporcionaba era las conexiones TCP/IP que teníamos en nuestra máquina de varias formas.

Por ejemplo, ejecutado sin parámetros:

[K:\]netstat
Active Connections
Proto Local Address Foreign Address State
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED
TCP PCxx1:1424 privatenews.microsoft.com:nntp ESTABLISHED

Es decir, al ser tecleado sin ningún parámetro nos informa de los puertos que en nuestra máquina tienen en un momento determinado una conexión”ESTABLECIDA” con una máquina remota, y por qué puerto.

Ejecutado, por ejemplo con alguno de los parámetros hasta ahora estándar, podemos comprobar toda la información que da un:

netstat -na

sabemos que lo potencialmente peligroso son los puertos, no sólo los que tienen conexión establecida como el ejemplo anterior, sino los que están a la escucha (LISTENING) como se puede ver en la salida anterior. Estos puertos son potencialmente peligrosos porque pueden provenir, o estar abiertos en escucha, por un proceso malicioso: por un troyano. Podemos filtrar la información anterior para ver los que están en escucha, dando el comandos:

netstat -na | find “LISTENING”

o bien, si queremos ver además el PID (numero de identificación de proceso del programa que lo ha lanzado, podemos ejecutar:

netstat -nao | find “LISTENING”

pero… esta información sigue estando coja: el número de proceso dado al final de la salida anterior, es necesario identificarlo con el nombre del programa que está en ejecución en máquina. Esto es relativamente sencillo en XP Profesional ejecutando ahora un:

tasklist

(o bien, en XP Home, bajándose de www.sysinternals.com la utilidad pslist) y buscando uno por uno, cada número de proceso (PID), con el programa asociado.

Es decir, la información está, se puede hacer completa… pero es engorroso y máximo a un usuario final que tiene que recordar la secuencia de comandos.

NUEVOS PARÁMETROS EN SP2

En el SP2 se incorporan en netstat dos nuevos parámetros b y v que nos van a servir para identificar los procesos o incluso los módulos incorporados en el proceso en sí. Esto último es importantísimo y lo comentaremos más adelante con más detalle.

Un ejemplo para ver las conexiones establecidas y el programa que las ha lanzado, puede ser:

[K:\]netstat -b

Active Connections

Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED 5984
[msimn.exe]

fijaos en que debajo de cada conexión aparecen los nombre de los programas que se ven envueltos en la conexión

Veamos los módulos:

[K:\]netstat -bv
Active Connections
Proto Local Address Foreign Address State PID
TCP PCxx1:1304 SVCW2K·:3389 ESTABLISHED 1640
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\mstscax.dll
K:\WINDOWS\system32\USER32.dll
K:\WINDOWS\system32\mstscax.dll
[mstsc.exe]

TCP PCxx1:1429 msnews.microsoft.com:nntp ESTABLISHED 5984
K:\WINDOWS\System32\mswsock.dll
K:\WINDOWS\system32\WS2_32.dll
K:\WINDOWS\system32\INETCOMM.dll
K:\Program Files\Outlook Express\MSOE.DLL
K:\WINDOWS\system32\USER32.dll
K:\Program Files\Outlook Express\MSOE.DLL
[msimn.exe]

Esta información puede ser muchísimo mas importante de cara a un técnico de sistemas o a un usuario avanzado. No sólo da el programa, sino todos los módulos que se ven afectados por la llamada.

¿Para qué puede servir? muy fácil: ciertos troyanos o programas fundamentalmente spywares, o sobre todo rootkits pueden enlazarse mediante un gancho (hook) a un proceso del sistema. Ese código maligno, normalmente no lo veremos en la lista de procesos… pero lo veremos, con nombre, o con un indicador de desconocido en la lista de módulos anteriores. Bajo mi punto de vista, una de las herramientas más potentes en este momento acaba de ser puesta en nuestra manos!

Igualmente, recordemos que podemos aplicarlo a conexiones no establecidas, pero en escucha, sin más que mezclar estos nuevos parámetros con los ya existentes.

Por ejemplo, para ver programas y también módulos de los procesos en escucha, sin más que hacer:

netsat -nab