identificación y análisis de patrones de trafico malicioso en redes ip
DESCRIPTION
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP.TRANSCRIPT
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP
Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS
Campus Party 2011
AgendaSesión I (28 de Junio 5:30 pm – 7:00 pm)
¿Qué es trafico? Estrategia para el
análisis de trafico Patrones de trafico Trafico anómalo
Sesión II (30 de Junio 8:00 pm – 9:30 pm)
OS Fingerprinting pasivo Aplicando datacarving a
vaciados de trafico Graficando el trafico de
red con Afterglow Geo-localización IP Detección y análisis
rápido de shellcode en el trafico de red
Caso de estudio
¿Qué es trafico?
Estrategia para el análisis del trafico
AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
CapturaCapturar y recopilar el trafico que fluye en la red
AccesoObtener visibilidad del trafico de la red
Estrategia para el análisis del trafico - Acceso
Concentradores o Hubs
Estrategia para el análisis del trafico - Acceso
Puertos Span
Puerto Span
Estación de Monitoreo
Estrategia para el análisis del trafico - Acceso
Tap’sGigabitEthernet Tap
Estación de Monitoreo
Estrategia para el análisis del trafico
AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
CapturaCapturar y recopilar el trafico que fluye en la red
AccesoObtener visibilidad del trafico de la red
Estrategia para el análisis del trafico - Captura Componentes básicos de un sistema
para la captura de traficoLibrería de
Procedimientos para la Captura
de Trafico
Aplicación de Capturadora
Base de datos/Formato de Almacenamiento
LibpcapWinpcapAirpcap
TcpdumpWindumpWiresharkTsharkSnort
MySQLPostgreSQL--------------------------------------CAP FormatPCAP FormatRAW Format
Libpcap/Winpcap/Airpcap
Stream Assembly
Database / PCAP Format
101010001110101011111010101000111010101011101101
Incoming Data
Stream
Dissectors Filters
Traffic Profiles
Protocol Analizer
101010001110101011111010101000111010101011101101
MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO
Estrategia para el análisis del trafico
AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
CapturaCapturar y recopilar el trafico que fluye en la red
AccesoObtener visibilidad del trafico de la red
Estrategia para el análisis del trafico - Análisis Componentes básicos para la
realización de un análisisConocimientos y habilidades
Herramientas
Herramientas para el análisis del trafico - Wireshark
Herramientas para el análisis del trafico - Tshark
Herramientas para el análisis del trafico – Networkminer
Herramientas para el análisis del trafico – Xplico
Herramientas para el análisis del trafico – Netwitnet Investigator
Herramientas para el análisis del trafico – Snort
Herramientas para el análisis del trafico –Malzilla y Libemu
Herramientas para el análisis del trafico – Virustotal
¿Qué es un patrón de comportamiento? Def. La forma esperada de comportamiento de un ente, este
tiende a ser reiterativo en si mismo , en otros entes o en ambos.
Wait
Ready
Go
Patrón de trafico
Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.
Se pueden clasificar en:– Patrones de trafico normales o típicos– Patrones de trafico anormales o maliciosos
¿Cómo identificamos un patrón de trafico ?
Patrón de trafico – Huella o Firma Firma
Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa)
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino 80
Banderas TCP Activas SYN
Solicitud de inicio de una conexión HTTP
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino Any
Banderas TCP Activas FIN – PSH – URG
Xmas Scan
Patrón de Trafico - Filtro
Filtro- Transcripción de la firma a un lenguaje lógico que permita depurar el trafico
capturadoSolicitud de inicio de una conexión HTTP
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino 80
Banderas TCP Activas SYN
Filtro
Xmas Scan
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino Any
Banderas TCP Activas FIN – PSH – URG
Filtro
tcp.flags.syn == 1 and tcp.dstport == 80
tcp.flags.fin == 1 and tcp.flags.psh == 1
and tcp.flags.urg == 1
Algunas firmas asociadas a actividades anómalas
Protocolo y puertos inusuales (P2P, IRC, 4444, …)
Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..)
Conexiones TCP entrantes inusuales (Bind)
Conexiones TCP salientes inusuales (Reverse)
Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…)
PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON
LA ANATOMIA DE UN ATAQUE
Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
Trafico anómalo
Técnicas de reconocimiento- Ping Sweep- Arp Sweep- Syn Scan- Xmas Scan with Decoys
Ataques de red- ARP Poison- Syn Flooding
Malware Nimda Clientes infectados con un Bot
Explotación de vulnerabilidades- Ataque de fuerza bruta- Ataque de diccionario- SQL Injection y Path Traversal
OS Fingerprinting pasivo
TTL
DF Bit
MMS
TOS
Windows
OS Fingerprinting pasivo – Tablas de huellas
OS Fingerprinting pasivo – p0f
OS Fingerprinting pasivo – Satory
Aplicando datacarving a vaciados de trafico TCPXtract
- tcpxtract --file ftp.pcap --output /root/output/ Foremost
– ./foremost -v -t all -i ftp.pcap -o /root/output/
Graficando el trafico de red con Afterglow
Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0...Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable?Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failedJun 17 09:42:38 rmarty sendmail: sendmail shutdown succeededJun 17 09:42:38 rmarty sendmail: sm-client shutdown succeededJun 17 09:42:39 rmarty sendmail: sendmail startup succeededJun 17 09:42:39 rmarty sendmail: sm-client startup succeededJun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:45:42 rmarty last message repeated 2 timesJun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0)Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user rootJun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0)Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user rootJun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0)Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabenchJun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
Graficando el trafico de red con Afterglow
Archivo color.scan (Configuracion de la imagen)
Graficando el trafico de red con Afterglow
Geo-localización IP
200.24.57.123
Geo-localización IP– GeoEdge.py
Geo-localización IP– Wireshark y GeoIP
Geo-localización IP– Xplico y Google Earth
Detección y análisis rápido de shellcode en el trafico de red
netcat bindshell port 6666nc –l –t -p 6666 –e //bin/sh
Caso de Estudio
Posible compromiso y hurto de información de un servidor web corporativo- webserver.pcap
Referencias
• Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell
• Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander
• Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard
• http://seguridadyredes.wordpress.com/• http://www.jennylab.es/blog/• http://conexioninversa.blogspot.com• http://www.honeynet.org