Cómo obtener el programa/servicio/software que está realizando conexiones «sospechosas» a IP de Internet y puertos no habituales. En este escenario, usaremos un cortafuegos OPNsense y equipos de la LAN con Windows 11.
Cuando estamos realizando la tarea de revisión de logs en el cortafuegos de nuestra organización y nos encontramos con tráfico «extraño», intentando acceder a puertos no habituales:
El cortafuegos (en este caso OPNsense) nos puede dar mucha información del paquete, pero normalmente no podrá descubrir qué aplicación realiza el intento de conexión en el equipo:
| __timestamp__ | 2026-05-17T12:32:21 |
| action | [block] |
| datalen | 0 |
| dir | [in] |
| dst | 66.102.1.188 |
| dstport | 5228 |
| id | 8249 |
| interface | vtnet1 |
| ipflags | DF |
| ipversion | 4 |
| label | LAN a any – BLOQUEAR |
| length | 52 |
| protoname | tcp |
| protonum | 6 |
| reason | match |
| rulenr | 83 |
| seq | 3168943753 |
| src | 192.168.10.10 |
| srcport | 55302 |
| status | 2 |
| tcpflags | S |
| tos | 0x0 |
| ttl | 128 |
| urp | 65535 |
Para averiguar qué proceso está realizando el intento de conexión en equipos Windows, accederemos al equipo (en este caso con la IP 192.168.10.10) y, desde una ventana de Símbolo de sistema (CMS, MS-DOS), ejecutaremos el siguiente comando:
|
1 |
netstat -ano | findstr 5228 |
En el comando anterior estamos indicando el puerto al que se está intentando conectar el equipo 192.168.10.10 que, como hemos comprobado en el log del cortafuegos, es el 5228 (dstport/destination port). El comando nos devolverá todos los procesos que están accediendo a ese puerto, con la IP de destino y, la última columna que nos muestra el PID del proceso que está realizando la conexión. En este caso, el PID es el 25908.
Con esta información ya podemos averiguar qué ejecutable del equipo está realizando el intento de conexión. Abriremos el Administrador de tareas de Windows, pulsaremos en «Detalles» [1] y en el listado de procesos abiertos, buscaremos el que tenga el PID 25908 [2]. Pulsando con el botón derecho del ratón sobre él, podemos abrir la carpeta donde se encuetra el ejecutable, pulsando en «Abrir ubicación del archivo» [3]:
Nos abrirá el Explorador de Windows con el fichero .exe seleccionado:
A partir de aquí, realizaremos una tarea de investigación del ejecutable, averiguando si es malware o legítimo.
Pulsaremos con el botón derecho sobre el ejecutable y elegiremos «Propiedades», para averiguar el fabricante y algún otro dato. Aunque no siempre será una fuente de información fiable porque esta información es modificable o incluso puede no indicarse al crear el ejecutable:
Existen varias opciones para averiguar si un software es legítimo o malware:
- El sentido común, la experiencia, la investigación del ejecutable y la ubicación en el equipo. Si conocemos el software y sabemos que es legítimo, valoraremos el abrir o no el tráfico que genera.
- Utilizar herramientas de terceros: EDR, Antivirus, XDR, servicios online donde podemos subir el fichero para su análisis, por ejemplo en Virustotal:
En este caso, Virustotal (que analiza el fichero con decenas de motores de antivirus como Acronis, Alibaba, Avast, Avira, Fortinet, Google, Malwarebytes, McAffee, NANO-Antivirus, Panda, TrendMicro, BitDefender, etc.) lo califica como legítimo:
- Utilizar la IA para que nos pueda indicar si la IP y el ejecutable (por el nombre) es legítimo. En este caso, nos indica que, efectivamente, se trata del emulador de Android en Windows.
Por lo tanto, en este ejemplo, el ejecutable netsimd.exe, es un software reconocido y no malicioso. Por lo que, en el cortafuegos, definimos una regla para permitir el acceso a Internet para este puerto, intentando aplicar siempre la metodología del mínimo privilegio, por lo que limitamos solo la salida a este puerto desde el equipo de la LAN que tiene el software Android Studio (pcalonso):
Por supuesto, si conocemos la IP o IPs a las que accede el software, añadiremos también esta limitación extra. En este caso concreto pueden ser múltiples IP públicas de salida y variables, por lo que no estableceremos esta limitación.
