Artículos de Ciberseguridad en Español

Todo es lo mismo pero siempre encontramos un punto diferente.

Investigación de tráfico malicioso 1

Investigación de tráfico malicioso 1

Este artículo le informará sobre los métodos para analizar y detectar interacciones de red maliciosas en la red. La información se proporciona para su referencia. Aquí repasaremos las herramientas básicas para analizar el tráfico de la red y buscaremos las fuentes de ejemplos para practicar.

Análisis de redes

A los efectos de este artículo, consideraremos el tráfico generado por software malintencionado en la red local como malintencionado. ¿Qué hace que esta interacción de red sea «dañina»? Cualquier dato transmitido por malware a través de la red asegura el funcionamiento «correcto» del malware y puede afectar una de las características de la información almacenada y procesada en el sistema, a saber, la integridad, disponibilidad y confidencialidad.

Lo que en la mayoría de los casos genera software malicioso en la red:

  • informe de infección del sistema;
  • las credenciales recopiladas en el sistema;
  • comandos recibidos del servidor de comando y control;
  • módulos de actualización de malware descargables;
  • tráfico de red utilizado para ataques DDoS

Para detectar comunicaciones de red maliciosas, debe:

  1. Ser capaz de registrar fragmentos de la interacción de la red;
  2. Conozca los patrones básicos de transmisión de datos por malware a través de la red y cómo se oculta la información en la comunicación de la red.

El primer punto es bastante sencillo de resolver utilizando rastreadores como WireShark o tcpdump. El segundo punto se resuelve para los analistas novatos solo mediante una gran cantidad de fragmentos de tráfico analizados. ¿Dónde puedo encontrar esos fragmentos?

Puede encontrar kits listos para usar de redes maliciosas simplemente buscando en Google «pcap malicioso». Hay una buena selección aquí . Al principio, es mejor utilizar este tráfico para comprender cómo el malware puede transmitir información a través de la red. En el recurso, también puede encontrar una sección con interacciones de red registradas, que se crearon para aprender a examinar el tráfico. Intentemos analizar el tráfico registrado del software malicioso .

ADVERTENCIA: Ninguno de los archivos y comandos que se encuentran en la interacción de red registrada se puede ejecutar en su máquina de trabajo; debe analizar estos datos en la máquina virtual.

El archivo de comunicación de red seleccionado representa la actividad de red del malware Trickbot. Dado que no sabemos cómo está construida la red, dónde se registró la interacción de la red, averiguaremos qué máquinas interactúan generalmente en la red:

Investigación de tráfico malicioso 1

Hay 24 máquinas en total, bastantes, intentemos averiguar qué protocolos se utilizan allí:

Investigación de tráfico malicioso 1

En la lista, puede ver que la red está ejecutando un sistema operativo Windows que se ejecuta en una infraestructura que ejecuta Windows AD. Busquemos interacciones de red maliciosas. Por lo general, el estudio comienza observando la cantidad de información que se transmite como parte de la interacción de las máquinas en red:

Investigación de tráfico malicioso 1

La interacción con una dirección IP que comienza con 149.28 parece interesante. Creemos un filtro:

`` 'ip.addr == 172.16.1.101 && tcp.port == 65483 && 
ip.addr == 149.28.140.9 && tcp.port == 80 ,,,

Como resultado, vemos la siguiente imagen:

Investigación de tráfico malicioso 1

Parece que se abrió un documento en la máquina que carga un archivo de plantilla para un documento de MS Office. El siguiente es el script VBA ofuscado:

Investigación de tráfico malicioso 1

Obviamente, la interacción registrada incluyó la etapa de infección del sistema operativo con software malicioso. Si miras este filtro:

tls

Investigación de tráfico malicioso 1

Descubrimos que la comunicación de red del malware también está encriptada. ¿Qué hacer? No hay claves de cifrado y no podrá leer la información dentro de los paquetes.

Análisis de redes: hoy y en el futuro

Cualquier habilidad de análisis de red se ve afectada por el uso del cifrado de tráfico. El estándar actual para el cifrado de red en la capa de aplicación del modelo OSI es el uso de HTTP sobre TLS. Este suele ser el «Fin del juego» de cualquier análisis si las claves de cifrado no están disponibles. ¿Cómo proceder en este caso?

Esta pregunta se ha hecho durante mucho tiempo. Se encontraron enfoques generales que, en combinación con el contexto de interacción de la red (software de host, roles de las máquinas en la red local), pueden permitir detectar comunicaciones de red maliciosas incluso sin descifrarlas.

Puede encontrar un proyecto interesante aquí . El proyecto utiliza redes neuronales como herramienta para analizar el tráfico cifrado. Son ellos quienes pueden hacer posible clasificar las interacciones transformadas.

La clasificación se realiza en base a los siguientes datos:

  • transmitido con la comunicación ClientHello TLS
  • longitud de los datos transmitidos
  • tiempos de espera temporales entre el envío de datos

Conclusión

Los creadores de virus modernos suelen incluir varias funcionalidades para transferir datos a través de una red al malware que desarrollan. Entre esta información, puede encontrar mucha información confidencial: desde datos de cuentas de usuario hasta contraseñas de cuentas bancarias. Una filtración de este tipo en la red puede tener consecuencias irreversibles para las empresas, así como para los usuarios domésticos comunes. Un administrador de red debe ser capaz de identificar dichas conexiones en la red: para ello, es necesario conocer el malware «actual» y el contenido del tráfico que genera con mayor frecuencia.

A %d blogueros les gusta esto: