identificación y análisis de patrones de trafico malicioso en redes ip

Report

Tags:

Post on 11-Nov-2014

6.610 Views

Category:

Technology

0 Downloads

Preview:

Click to see full reader

DESCRIPTION

Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP.

TRANSCRIPT

Identificación y Análisis de Patrones de Trafico Malicioso en Redes IP

Luis Eduardo Meléndez Campis CEH, ACE, BCF, BSN, BIS

Campus Party 2011

Luis Eduardo Meléndez Campis

@v3l3r0f0nt3

v3l3r0f0nt3@gmail.com

AgendaSesión I (28 de Junio 5:30 pm – 7:00 pm)

¿Qué es trafico? Estrategia para el

análisis de trafico Patrones de trafico Trafico anómalo

Sesión II (30 de Junio 8:00 pm – 9:30 pm)

OS Fingerprinting pasivo Aplicando datacarving a

vaciados de trafico Graficando el trafico de

red con Afterglow Geo-localización IP Detección y análisis

rápido de shellcode en el trafico de red

Caso de estudio

¿Qué es trafico?

Estrategia para el análisis del trafico

AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del

mismo.

CapturaCapturar y recopilar el trafico que fluye en la red

AccesoObtener visibilidad del trafico de la red

Estrategia para el análisis del trafico - Acceso

Concentradores o Hubs

Estrategia para el análisis del trafico - Acceso

Puertos Span

Puerto Span

Estación de Monitoreo

Estrategia para el análisis del trafico - Acceso

Tap’sGigabitEthernet Tap

Estación de Monitoreo

Estrategia para el análisis del trafico

AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del

mismo.

CapturaCapturar y recopilar el trafico que fluye en la red

AccesoObtener visibilidad del trafico de la red

Estrategia para el análisis del trafico - Captura Componentes básicos de un sistema

para la captura de traficoLibrería de

Procedimientos para la Captura

de Trafico

Aplicación de Capturadora

Base de datos/Formato de Almacenamiento

LibpcapWinpcapAirpcap

TcpdumpWindumpWiresharkTsharkSnort

MySQLPostgreSQL--------------------------------------CAP FormatPCAP FormatRAW Format

Libpcap/Winpcap/Airpcap

Stream Assembly

Database / PCAP Format

101010001110101011111010101000111010101011101101

Incoming Data

Stream

Dissectors Filters

Traffic Profiles

Protocol Analizer

101010001110101011111010101000111010101011101101

MODELO OPERATIVO DE UN SISTEMA DE CAPTURA DE TRAFICO

Estrategia para el análisis del trafico

AnálisisEstudiar el trafico capturado teniendo en cuenta el ámbito y el objetivo del

mismo.

CapturaCapturar y recopilar el trafico que fluye en la red

AccesoObtener visibilidad del trafico de la red

Estrategia para el análisis del trafico - Análisis Componentes básicos para la

realización de un análisisConocimientos y habilidades

Herramientas

Herramientas para el análisis del trafico - Wireshark

Herramientas para el análisis del trafico - Tshark

Herramientas para el análisis del trafico – Networkminer

Herramientas para el análisis del trafico – Xplico

Herramientas para el análisis del trafico – Netwitnet Investigator

Herramientas para el análisis del trafico – Snort

Herramientas para el análisis del trafico –Malzilla y Libemu

Herramientas para el análisis del trafico – Virustotal

¿Qué es un patrón de comportamiento? Def. La forma esperada de comportamiento de un ente, este

tiende a ser reiterativo en si mismo , en otros entes o en ambos.

Wait

Ready

Go

Patrón de trafico

Def. Comportamiento particular del trafico de la red en determinada circunstancia reiterativa influida por protocolos o aplicaciones.

Se pueden clasificar en:– Patrones de trafico normales o típicos– Patrones de trafico anormales o maliciosos

¿Cómo identificamos un patrón de trafico ?

Patrón de trafico – Huella o Firma Firma

Conjunto de características propias que identifican a una actividad en particular (normal o maliciosa)

Firma

Dirección IP origen Any

Dirección IP destino Any

Protocolo TCP

Puerto origen Any

Puerto destino 80

Banderas TCP Activas SYN

Solicitud de inicio de una conexión HTTP

Firma

Dirección IP origen Any

Dirección IP destino Any

Protocolo TCP

Puerto origen Any

Puerto destino Any

Banderas TCP Activas FIN – PSH – URG

Xmas Scan

Patrón de Trafico - Filtro

Filtro- Transcripción de la firma a un lenguaje lógico que permita depurar el trafico

capturadoSolicitud de inicio de una conexión HTTP

Firma

Dirección IP origen Any

Dirección IP destino Any

Protocolo TCP

Puerto origen Any

Puerto destino 80

Banderas TCP Activas SYN

Filtro

Xmas Scan

Firma

Dirección IP origen Any

Dirección IP destino Any

Protocolo TCP

Puerto origen Any

Puerto destino Any

Banderas TCP Activas FIN – PSH – URG

Filtro

tcp.flags.syn == 1 and tcp.dstport == 80

tcp.flags.fin == 1 and tcp.flags.psh == 1

and tcp.flags.urg == 1

Algunas firmas asociadas a actividades anómalas

Protocolo y puertos inusuales (P2P, IRC, 4444, …)

Exceso de conexiones TCP fallidas (Port Scan, Syn Flooding, etc..)

Conexiones TCP entrantes inusuales (Bind)

Conexiones TCP salientes inusuales (Reverse)

Paquetes ICMP, TCP o UDP malformados (Smurf, Fraggle, Land, etc…)

PERFILES DE FLUJO DE TRAFICO RELACIONADOS CON

LA ANATOMIA DE UN ATAQUE

Tomado de Network Forensics: Wireshark as Evidence Collector by Laura Chappell

Trafico anómalo

Técnicas de reconocimiento- Ping Sweep- Arp Sweep- Syn Scan- Xmas Scan with Decoys

Ataques de red- ARP Poison- Syn Flooding

Malware Nimda Clientes infectados con un Bot

Explotación de vulnerabilidades- Ataque de fuerza bruta- Ataque de diccionario- SQL Injection y Path Traversal

OS Fingerprinting pasivo

TTL

DF Bit

MMS

TOS

Windows

OS Fingerprinting pasivo – Tablas de huellas

OS Fingerprinting pasivo – p0f

OS Fingerprinting pasivo – Satory

Aplicando datacarving a vaciados de trafico TCPXtract

- tcpxtract --file ftp.pcap --output /root/output/ Foremost

– ./foremost -v -t all -i ftp.pcap -o /root/output/

Graficando el trafico de red con Afterglow

Jun 17 09:42:30 rmarty ifup: Determining IP information for eth0...Jun 17 09:42:35 rmarty ifup: failed; no link present. Check cable?Jun 17 09:42:35 rmarty network: Bringing up interface eth0: failedJun 17 09:42:38 rmarty sendmail: sendmail shutdown succeededJun 17 09:42:38 rmarty sendmail: sm-client shutdown succeededJun 17 09:42:39 rmarty sendmail: sendmail startup succeededJun 17 09:42:39 rmarty sendmail: sm-client startup succeededJun 17 09:43:39 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:45:42 rmarty last message repeated 2 timesJun 17 09:45:47 rmarty vmnet-dhcpd: DHCPINFORM from 172.16.48.128Jun 17 09:56:02 rmarty vmnet-dhcpd: DHCPDISCOVER from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPOFFER on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPREQUEST for 172.16.48.128 from 00:0c:29:b7:b2:47 via vmnet8Jun 17 09:56:03 rmarty vmnet-dhcpd: DHCPACK on 172.16.48.128 to 00:0c:29:b7:b2:47 via vmnet8Jun 17 10:00:03 rmarty crond(pam_unix)[30534]: session opened for user root by (uid=0)Jun 17 10:00:10 rmarty crond(pam_unix)[30534]: session closed for user rootJun 17 10:01:02 rmarty crond(pam_unix)[30551]: session opened for user root by (uid=0)Jun 17 10:01:07 rmarty crond(pam_unix)[30551]: session closed for user rootJun 17 10:05:02 rmarty crond(pam_unix)[30567]: session opened for user idabench by (uid=0)Jun 17 10:05:05 rmarty crond(pam_unix)[30567]: session closed for user idabenchJun 17 10:13:05 rmarty portsentry[4797]: attackalert: UDP scan from host: 192.168.80.19/192.168.80.19 to UDP port: 192

Graficando el trafico de red con Afterglow

Archivo color.scan (Configuracion de la imagen)

Graficando el trafico de red con Afterglow

Geo-localización IP

200.24.57.123

Geo-localización IP– GeoEdge.py

Geo-localización IP– Wireshark y GeoIP

Geo-localización IP– Xplico y Google Earth

Detección y análisis rápido de shellcode en el trafico de red

netcat bindshell port 6666nc –l –t -p 6666 –e //bin/sh

Caso de Estudio

Posible compromiso y hurto de información de un servidor web corporativo- webserver.pcap

Referencias

• Wireshark Network Analysis - The OfficialWireshark Certified Network Analyst Study Guide by Laura Chappell

• Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems by Chris Sander

• Digital Forensics for Network, Internet, and Cloud Computing: A Forensic Evidence Guide for Moving Targets and Data by Terrence V. Lillard

• http://seguridadyredes.wordpress.com/• http://www.jennylab.es/blog/• http://conexioninversa.blogspot.com• http://www.honeynet.org

top related

trafico leucocitario
Documents
trafico urbano
Documents
software malicioso (1)
Documents
trafico autosemejante
Documents
narco trafico
Documents
trafico humano
Education
virus malicioso
Documents
software malicioso guillermo llerena
Technology
trafico vehicualr
Documents
software malicioso christian quispe
Education
tipos de software malicioso
Documents
cisco advanced malware · pdf fileel malware entrará en su...
Documents
software malicioso o malware
Technology
codigo malicioso
Education
redes sociales: ¿podemos detectar contenido malicioso?
Documents
técnicas y comportamiento de código malicioso
Software
comunicación trafico
Documents
atraer trafico
Marketing
computer data systems malwares. malware concepto: malware...
Documents
trafico vehicular
Education