PCAP Análisis — Brace yourself

Como todo incident responder en la mayoría de los casos nos toca hacer un análisis de archivos de red. Para mí, aparte de un volcado de memoria, captura de trafico tiene que ser parte del #ABC para una correcta gestión de incidentes (que aplique). Obvio esto es una opinion personal, pero siempre pienso que hoy en día las amenazas son muy avanzadas (#APT’s), el #market de malware es enorme y no sabemos con qué nos podemos encontrar (pero vamos!, es lo lindo de ser parte de #IR y metemos en el barro).

Para los que les toco algún momento hacerlo y para los que no, les traigo este pequeño pero util post con la información necesaria.


“La captura”


Cuando hablamos de la captura me refiero a que herramienta es buena para guardarnos esos preciosos registros que luego con algunas técnicas de #DFIR vamos a sacarle el jugo. Existen muchas herramientas para hacerlo (como digo siempre: “…la herramienta la elige el analista, estemos seguros que hace bien el trabajo…” ) en estos casos en lo particular trabajo con las #madres, esto quiere decir:

WiresharkTCPDUMP

Son faciles de instalar y usar, basta con instalarla (en el caso de wireshark) > ejecutar el programa > hacer clic en “start capturing packets”

“El análisis”


Todo listo, tome mis capturas de trafico, y ahora voy a analizar esos benditos paquetes para encontrar trafico que nos llame la atención o nos de indicios de un posible incidente en curso. Aca es donde empieza la magia, si tenemos mucha experiencia o nos gusta ser #wireninjas pueden usar este cheetsheet que les dejo de comandos de #wireshark para encontrar anomalias:

REF: http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf


Ahora, si tenemos que analizar #GIGAS de paquetes, estamos un poco complicados para hacerlo manualmente, ya que esto nos llevaría tiempo, mucho, el cual un #dfir no tiene el lujo de darse. Entonces aqui viene una solución que puede acelerar el #hunting: Elasticsearch & Kibana (https://www.elastic.co/es/blog/analyzing-network-packets-with-wireshark-elasticsearch-and-kibana)


En el link que les compartimos hay una guia paso a paso en español donde pueden encontrar como ELK (elasticsearch & kibana) puede configurarse y utilizarse para el análisis de trafico de RED con la siguiente arquitectura>