identificación y análisis de patrones de trafico malicioso en redes ip
DESCRIPTION
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP.TRANSCRIPT
![Page 1: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/1.jpg)
Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP
Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS
Campus Party 2011
![Page 3: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/3.jpg)
AgendaSesión I (28 de Junio 5:30 pm – 7:00 pm)
¿Qué es trafico? Estrategia para el
análisis de trafico Patrones de trafico Trafico anómalo
Sesión II (30 de Junio 8:00 pm – 9:30 pm)
OS Fingerprinting pasivo Aplicando datacarving a
vaciados de trafico Graficando el trafico de
red con Afterglow Geo-localización IP Detección y análisis
rápido de shellcode en el trafico de red
Caso de estudio
![Page 4: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/4.jpg)
¿Qué es trafico?
![Page 5: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/5.jpg)
Estrategia para el análisis del trafico
AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
CapturaCapturar y recopilar el trafico que fluye en la red
AccesoObtener visibilidad del trafico de la red
![Page 6: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/6.jpg)
Estrategia para el análisis del trafico - Acceso
Concentradores o Hubs
![Page 7: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/7.jpg)
Estrategia para el análisis del trafico - Acceso
Puertos Span
Puerto Span
Estación de Monitoreo
![Page 8: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/8.jpg)
Estrategia para el análisis del trafico - Acceso
Tap’sGigabitEthernet Tap
Estación de Monitoreo
![Page 9: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/9.jpg)
Estrategia para el análisis del trafico
AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
CapturaCapturar y recopilar el trafico que fluye en la red
AccesoObtener visibilidad del trafico de la red
![Page 10: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/10.jpg)
Estrategia para el análisis del trafico - Captura Componentes básicos de un sistema
para la captura de traficoLibrería de
Procedimientos para la Captura
de Trafico
Aplicación de Capturadora
Base de datos/Formato de Almacenamiento
LibpcapWinpcapAirpcap
TcpdumpWindumpWiresharkTsharkSnort
MySQLPostgreSQL--------------------------------------CAP FormatPCAP FormatRAW Format
Libpcap/Winpcap/Airpcap
Stream Assembly
Database / PCAP Format
101010001110101011111010101000111010101011101101
Incoming Data
Stream
Dissectors Filters
Traffic Profiles
Protocol Analizer
101010001110101011111010101000111010101011101101
MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO
![Page 11: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/11.jpg)
Estrategia para el análisis del trafico
AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del
mismo.
CapturaCapturar y recopilar el trafico que fluye en la red
AccesoObtener visibilidad del trafico de la red
![Page 12: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/12.jpg)
Estrategia para el análisis del trafico - Análisis Componentes básicos para la
realización de un análisisConocimientos y habilidades
Herramientas
![Page 13: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/13.jpg)
Herramientas para el análisis del trafico - Wireshark
![Page 14: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/14.jpg)
Herramientas para el análisis del trafico - Tshark
![Page 15: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/15.jpg)
Herramientas para el análisis del trafico – Networkminer
![Page 16: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/16.jpg)
Herramientas para el análisis del trafico – Xplico
![Page 17: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/17.jpg)
Herramientas para el análisis del trafico – Netwitnet Investigator
![Page 18: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/18.jpg)
Herramientas para el análisis del trafico – Snort
![Page 19: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/19.jpg)
Herramientas para el análisis del trafico –Malzilla y Libemu
![Page 20: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/20.jpg)
Herramientas para el análisis del trafico – Virustotal
![Page 21: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/21.jpg)
¿Qué es un patrón de comportamiento? Def. La forma esperada de comportamiento de un ente, este
tiende a ser reiterativo en si mismo , en otros entes o en ambos.
Wait
Ready
Go
![Page 22: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/22.jpg)
Patrón de trafico
Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.
Se pueden clasificar en:– Patrones de trafico normales o típicos– Patrones de trafico anormales o maliciosos
¿Cómo identificamos un patrón de trafico ?
![Page 23: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/23.jpg)
Patrón de trafico – Huella o Firma Firma
Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa)
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino 80
Banderas TCP Activas SYN
Solicitud de inicio de una conexión HTTP
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino Any
Banderas TCP Activas FIN – PSH – URG
Xmas Scan
![Page 24: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/24.jpg)
Patrón de Trafico - Filtro
Filtro- Transcripción de la firma a un lenguaje lógico que permita depurar el trafico
capturadoSolicitud de inicio de una conexión HTTP
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino 80
Banderas TCP Activas SYN
Filtro
Xmas Scan
Firma
Dirección IP origen Any
Dirección IP destino Any
Protocolo TCP
Puerto origen Any
Puerto destino Any
Banderas TCP Activas FIN – PSH – URG
Filtro
tcp.flags.syn == 1 and tcp.dstport == 80
tcp.flags.fin == 1 and tcp.flags.psh == 1
and tcp.flags.urg == 1
![Page 25: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/25.jpg)
Algunas firmas asociadas a actividades anómalas
Protocolo y puertos inusuales (P2P, IRC, 4444, …)
Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..)
Conexiones TCP entrantes inusuales (Bind)
Conexiones TCP salientes inusuales (Reverse)
Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…)
PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON
LA ANATOMIA DE UN ATAQUE
Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell
![Page 26: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/26.jpg)
Trafico anómalo
Técnicas de reconocimiento- Ping Sweep- Arp Sweep- Syn Scan- Xmas Scan with Decoys
Ataques de red- ARP Poison- Syn Flooding
Malware Nimda Clientes infectados con un Bot
Explotación de vulnerabilidades- Ataque de fuerza bruta- Ataque de diccionario- SQL Injection y Path Traversal
![Page 27: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/27.jpg)
OS Fingerprinting pasivo
TTL
DF Bit
MMS
TOS
Windows
![Page 28: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/28.jpg)
OS Fingerprinting pasivo – Tablas de huellas
![Page 29: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/29.jpg)
OS Fingerprinting pasivo – p0f
![Page 30: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/30.jpg)
OS Fingerprinting pasivo – Satory
![Page 31: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/31.jpg)
Aplicando datacarving a vaciados de trafico TCPXtract
- tcpxtract --file ftp.pcap --output /root/output/ Foremost
– ./foremost -v -t all -i ftp.pcap -o /root/output/
![Page 32: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/32.jpg)
Graficando el trafico de red con Afterglow
Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0...Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable?Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failedJun 17 09:42:38 rmarty sendmail: sendmail shutdown succeededJun 17 09:42:38 rmarty sendmail: sm-client shutdown succeededJun 17 09:42:39 rmarty sendmail: sendmail startup succeededJun 17 09:42:39 rmarty sendmail: sm-client startup succeededJun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:45:42 rmarty last message repeated 2 timesJun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0)Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user rootJun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0)Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user rootJun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0)Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabenchJun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192
![Page 33: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/33.jpg)
Graficando el trafico de red con Afterglow
Archivo color.scan (Configuracion de la imagen)
![Page 34: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/34.jpg)
Graficando el trafico de red con Afterglow
![Page 35: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/35.jpg)
Geo-localización IP
200.24.57.123
![Page 36: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/36.jpg)
Geo-localización IP– GeoEdge.py
![Page 37: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/37.jpg)
Geo-localización IP– Wireshark y GeoIP
![Page 38: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/38.jpg)
Geo-localización IP– Xplico y Google Earth
![Page 39: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/39.jpg)
Detección y análisis rápido de shellcode en el trafico de red
netcat bindshell port 6666nc –l –t -p 6666 –e //bin/sh
![Page 40: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/40.jpg)
Caso de Estudio
Posible compromiso y hurto de información de un servidor web corporativo- webserver.pcap
![Page 41: Identificación y análisis de patrones de trafico malicioso en redes ip](https://reader033.vdocuments.net/reader033/viewer/2022061114/54628ca5b4af9f531c8b4831/html5/thumbnails/41.jpg)
Referencias
• Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell
• Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander
• Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard
• http://seguridadyredes.wordpress.com/• http://www.jennylab.es/blog/• http://conexioninversa.blogspot.com• http://www.honeynet.org