Este documento presenta una sesión de capacitación sobre la identificación y análisis de patrones de tráfico malicioso en redes IP. La sesión cubre temas como estrategias para el análisis de tráfico, patrones de tráfico normales y anormales, herramientas para el análisis de tráfico como Wireshark y Snort, y técnicas como fingerprinting de sistema operativo, geolocalización IP y detección de shellcode. También incluye un caso de estudio sobre un posible compromiso de servidor
3. Agenda
Sesión I Sesión II
(28 de Junio 5:30 pm – 7:00 pm) (30 de Junio 8:00 pm – 9:30 pm)
¿Qué es trafico? OS Fingerprinting pasivo
Estrategia para el análisis de trafico Aplicando datacarving a vaciados de
Patrones de trafico trafico
Trafico anómalo Graficando el trafico de red con
Afterglow
Geo-localización IP
Detección y análisis rápido de
shellcode en el trafico de red
Caso de estudio
5. Estrategia para el análisis del trafico
Acceso
Obtener visibilidad del trafico de la red
Captura
Capturar y recopilar el trafico que fluye en la red
Análisis
Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
7. Estrategia para el análisis del trafico - Acceso
Puertos Span
Puerto Span
Estación de
Monitoreo
8. Estrategia para el análisis del trafico - Acceso
Tap’s
GigabitEthernet Tap
Estación de
Monitoreo
9. Estrategia para el análisis del trafico
Acceso
Obtener visibilidad del trafico de la red
Captura
Capturar y recopilar el trafico que fluye en la red
Análisis
Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
10. Estrategia para el análisis del trafico - Captura
MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO
Componentes básicos de un sistema para la captura de
trafico Protocol Analizer
Librería de Procedimientos Aplicación de Capturadora Base de datos/Formato de
para la Captura de Trafico Almacenamiento Database /
Traffic
Dissectors Filters PCAP Format
Libpcap Tcpdump Profiles MySQL
Winpcap Windump PostgreSQL
Airpcap Wireshark
Stream Assembly --------------------------------------
Tshark CAP Format
Snort PCAP Format
Libpcap/Winpcap/Airpcap RAW Format
Incoming Data
Stream
101010001110101011111010101000111010101011101101
11. Estrategia para el análisis del trafico
Acceso
Obtener visibilidad del trafico de la red
Captura
Capturar y recopilar el trafico que fluye en la red
Análisis
Estudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
12. Estrategia para el análisis del trafico - Análisis
Componentes básicos para la realización de un análisis
Conocimientos y habilidades Herramientas
21. ¿Qué es un patrón de comportamiento?
Def. La forma esperada de comportamiento de un ente, este
tiende a ser reiterativo en si mismo , en otros entes o en ambos.
Wait
Ready
Go
22. Patrón de trafico
Def. Comportamiento particular del trafico de la red en
determinada circunstancia reiterativa influida por protocolos o
aplicaciones.
Se pueden clasificar en:
– Patrones de trafico normales o típicos
– Patrones de trafico anormales o maliciosos
23. Patrón de trafico – Huella o Firma
Firma
Conjunto de características propias que identifican a una actividad en
particular (normal o maliciosa)
Solicitud de inicio de una conexión HTTP Xmas Scan
Firma Firma
Dirección IP origen Any Dirección IP origen Any
Dirección IP destino Any Dirección IP destino Any
Protocolo TCP Protocolo TCP
Puerto origen Any Puerto origen Any
Puerto destino 80 Puerto destino Any
Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
24. Patrón de Trafico - Filtro
Filtro
Transcripción de la firma a un lenguaje lógico que permita depurar el trafico
capturado
Solicitud de inicio de una conexión HTTP Xmas Scan
Firma Firma
Dirección IP origen Any Dirección IP origen Any
Dirección IP destino Any Dirección IP destino Any
Protocolo TCP Protocolo TCP
Puerto origen Any Puerto origen Any
Puerto destino 80 Puerto destino Any
Banderas TCP Activas SYN Banderas TCP Activas FIN – PSH – URG
Filtro Filtro
tcp.flags.fin == 1 and tcp.flags.psh == 1
tcp.flags.syn == 1 and tcp.dstport == 80 and
tcp.flags.urg == 1
25. Algunas firmas asociadas a actividades anómalas
Protocolo y puertos inusuales (P2P, IRC, 4444, …)
PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON LA ANATOMIA DE UN ATAQUE
Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..)
Conexiones TCP entrantes inusuales (Bind)
Conexiones TCP salientes inusuales (Reverse)
Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…)
Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
26. Trafico anómalo
Técnicas de reconocimiento Malware
Ping Sweep Nimda
Arp Sweep Clientes infectados con un Bot
Syn Scan Explotación de vulnerabilidades
Xmas Scan with Decoys Ataque de fuerza bruta
Ataques de red Ataque de diccionario
ARP Poison SQL Injection y Path Traversal
Syn Flooding
31. Aplicando datacarving a vaciados de trafico
TCPXtract
tcpxtract --file ftp.pcap --output /root/output/
Foremost
– ./foremost -v -t all -i ftp.pcap -o /root/output/
32. Graficando el trafico de red con Afterglow
Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0...
Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable?
Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failed
Jun 17 09:42:38 rmarty sendmail: sendmail shutdown succeeded
Jun 17 09:42:38 rmarty sendmail: sm-client shutdown succeeded
Jun 17 09:42:39 rmarty sendmail: sendmail startup succeeded
Jun 17 09:42:39 rmarty sendmail: sm-client startup succeeded
Jun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128
Jun 17 09:45:42 rmarty last message repeated 2 times
Jun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128
Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8
Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8
Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8
Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8
Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0)
Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user root
Jun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0)
Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user root
Jun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0)
Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabench
Jun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP
port: 192
33. Graficando el trafico de red con Afterglow
Archivo color.scan (Configuracion de la imagen)
39. Detección y análisis rápido de shellcode en el
trafico de red
netcat bindshell port 6666
nc –l –t -p 6666 –e //bin/sh
40. Caso de Estudio
Posible compromiso y hurto de información de un servidor web
corporativo
webserver.pcap
41. Referencias
• Wireshark Network Analysis - The OfficialWireshark Certified Network
Analyst Study Guide by Laura Chappell
• Practical Packet Analysis: Using Wireshark to Solve Real-World
Network Problems by Chris Sander
• Digital Forensics for Network, Internet, and Cloud Computing: A
Forensic Evidence Guide for Moving Targets and Data by Terrence V.
Lillard
• http://seguridadyredes.wordpress.com/
• http://www.jennylab.es/blog/
• http://conexioninversa.blogspot.com
• http://www.honeynet.org