Airprobe – instalación y uso
jul17

Airprobe – instalación y uso

Hace unas semanas hablaba de Herramientas o toolkits para hacer el analisis de una red GSM (frecuencia de Downlink, upling, mnc, mcc y entre otras) , en esta publicación para la Comunidad DragonJAR usaremos airprobe para hacer un análisis más profundo a esta tecnologia, capturando frames de la frecuencia de Downlik, previamente conocida y analizada según la region NOTA: es recomendable tener instalado y funcionando previamente GNUradio, python, g++ Software Usado: backtrack R3 airprobe wireshark Modo de instalación: Instalación de dependencias Basicas: sudo apt-get –y install git-core autoconf automake libtool g++ python-dev swig libpcap0.8-dev Instalación de libosmocore: git clone git://git.osmocom.org/libosmocore.git cd libosmocore autoreconf –i ./configure make sudo make install sudo ldconfig Clonacion de Airprobe: git clone git://git.gnumonks.org/airprobe.git Instalación de gsmdecode cd airprobe/gsmdecode ./bootstrap ./configure make instalación de gsm-receiver cd airprobe/gsm-receiver ./bootstrap ./configure make Probando que la herramienta funcione: para probar que la herramienta este funcionando, vamos a descargar un archivo de extension “*.cfile”, para probar que la herramienta este bien instalada. Ingresamos a la carpeta: cd airprobe/gsm-receiver/src/python Descargamos: wget https://svn.berlin.ccc.de/projects/airprobe/raw- attachment/wiki/DeModulation/capture_941.8M_112.cfile Ahora abriremos Wireshark, y en la interfaz de captura seleccionamos la opción de lo (loopback), y en filtro escribiremos “gsmtap”, debe de quedar de la siguiente manera: Ahora volviendo al terminal, en la carpeta de python ( ~/airprobe/gsm-receiver/src/python ) digitamos lo siguiente: </pre> ./go.sh capture_941.8M_112.cfile <pre> Y en wireshark tendríamos la siguiente información: Ahora buscamos un frame “ type 4” y buscamos el area en el que se capturo el frame: Para hacer nuestras propias capturas usaremos la herramienta gsm_receiver_rtl.py que se encuentra en la misma carpeta, asi: ./gsm_receive_rtl.py -s 1e6 NOTA: recuerden usar las bandas de frecuencia que se encuentran activas en la zona que se encuentran. Otra forma de hacer la captura del archivo .cfile es con la herramienta rtl_sdr # rtl_sdr /tmp/rtl_sdr_capture.bin -f 893.2e6 -g 48.1 Recopilación de herramientas hasta el momento para hacer análisis de GSM: airprobe gqrx kraken kalibrate wireshark Espero que puedas usar airprobe en tus proyectos de auditoria y que este texto les sea de utilidad a la hora de su instalación, cualquier comentario o sugerencia pueden dejarla abajo y yo estaré pasando constantemente por la comunidad a revisarlos y responderlos. Articulo escrito por Daniel José́ Escobar (@mrdesc) para La Comunidad...

Leer Más

¿Qué pasa en mi red?

En la charla que estuve dando en el curso de perito telemático forense, cuando llegaba a la parte de la respuesta ante incidentes siempre explico, que una de las maneras más rápidas de empezar a poder saber si ha pasado algo es mirar el tráfico de red. Por eso es imprescindible el saber usar herramientas como Wireshark. Este analizador de tráfico nos puede salvar de un problema en múltiples escenarios y los usos que se le pueden dar son infinitos. Esta imagen será familiar para mas de uno, es la ventana con captura de tráfico de Wireshark, podemos encontrar muchas de ellas si buscamos en Google. Vamos ha hacer una prueba mirando una captura de tráfico: En una red es normal que podamos ver diferentes cosas, desde tráfico que provoca la aplicación Dropbox, que busca sincronizar en LOCAL. También podremos ver cosas como DHCPv6 etc.. Una de las cosas que podemos configurar en Wireshark para ver mejor el tráfico es lo siguiente: Habilitamos network name resolution, nos ayudará en las capturas de tráfico. Si queremos mirar algún evento en concreto podemos hacer el follow UDP stream, TCP stream Podemos ver la trama del paquete, y si queremos podemos ver el tráfico de red entre un equipo en concreto,si queremos. Podremos ver tráfico de red, de equipos preguntando por otros equipos. Si queremos filtrar en la captura por tráfico DHCP, por ejemplo. Podemos filtrar por DHCP, pero que pasa si queremos filtrar por una IP en concreto. Los filtros de Wireshark son muy potentes. Pero otra de las cosas que podemos hacer es ver el tráfico y incluso poder ver que aplicaciones tienen los usuarios tienen instaladas. Vemos en la captura que ese usuario está usando Virtualbox....

Leer Más
Parseando pcaps con tshark
may04

Parseando pcaps con tshark

En una investigación en la que tenemos que tratar tráfico de red, si no contamos con algunos tricks puede ser una tarea bastante tediosa. Una de las primeras cosas que tendremos que saber es: ¿Qué queremos obtener? Imaginad que estamos en un equipo anti-fraude y tenemos que mandar a cerrar al ISP aquellos dominios relacionados con phishing o malware. En este caso nos dará igual las peticiones GET o POST (aunque también son útiles), lo más rápido que buscaremos son las peticiones DNS, por ejemplo. En este caso no hará falta que revisemos el pcap entero, podríamos directamente extraer las peticiones DNS, si además lo podemos scriptar mucho mejor, por si hay que mirar mucha cantidad de paquetes. ¿Que herramientas nos pueden ayudar? Bueno, en este caso mostraré la versión GUI de la herramienta y luego la versión consola, que es de lo que trata el artículo 😉 Esta imagen nos debería de ser muy familiar, se trata de Wireshark, este programa nos sirve entre otras cosas para capturar el tráfico de red. Si abrimos un pcap podemos ver gráficamente todo el flujo de datos, además podremos aplicar filtros para hacer las búsquedas que necesitemos. Seleccionando el filtro adecuado podríamos obtener por pantalla el resultado del filtro en el pcap. A mi me encantan las interfaces GUI, pero reconozco que es mucho más rápido y, además puedes procesar mas cantidad de información el poder usar alguna herramienta del tipo command line. En este caso usaremos tshark, la versión de consola de Wireshark. Se puede encontrar en los repositorios, para instalarlo solo hemos de hacer: apt-get install tshark Vamos a ver unos ejemplos para obtener cierta información de un pcap. Extrayendo peticiones DNS Para extraer peticiones DNS de un pcap tendríamos que lanzar tshark de la siguiente forma: tshark -r PCAP -T fields -e ip.src -e dns.qry.name -R “dns.flags.response eq 0” En este caso veríamos por pantalla: Extrayendo User-agents En una determinada investigación, puede ser útil extraer los user agents del pcap, la sentencia de tshark sería: tshark -nn -r PCAP -T fields -e ip.src -e http.user_agent -R “http.user_agent” Por pantalla podemos ver los resultados Extrayendo peticiones MYSQL Imaginad que en una investigación una base de datos forma parte de la investigación, también podemos extraer facilmente información del pcap La sentencia de tshark sería: tshark -r PCAP -d tcp.port==3306,mysql -T fields -e mysql.query Por pantalla podemos ver los resultados de nuevo: Peticiones GET: Si queremos de manera rápida, extraer las peticiones GET, con tshark realizamos: tshark -r PCAP -R “http.request.method==GET” Por pantalla nos muestra: Aunque hemos visto que podemos extraer información de un pcap, con tshark, podremos también capturar tráfico...

Leer Más

Análisis de tráfico con Wireshark

ACTUALIZADO: acabo de recibir otro correo, esta vez de Borja Merino (autor del texto), indicándome sobre algunas correcciones y mejoras realizadas al articulo, subo la nueva versión y actualizo la entrada para que todos disfruten de ella. Hace poco recibí un correo de Jorge Chinea López en el que me comenta sobre un manual creado por INTECO (Instituto Nacional de Tecnologías de la Comunicación de España), sobre el “Análisis de tráfico con Wireshark”. Este documento nos enseña con lujo de detalles como analizar trafico utilizando el famoso sniffer de red Wireshark, la temática del manual va desde el manejo de la herramienta como tal, hasta la detección de ataques locales (ARP Spoof, DNS Spoof, PORT Flooding, DoS) y el uso de herramientas como Snort para la detección de intrusos, lo dejo con la tabla de contenidos y el documento para ver online. Para leerla online dale click en el centro de la revista y quedará en pantalla completa, o puedes descargarla en PDF desde este enlace. Si te gustó este manual, pasate por los video tutoriales de wireshark que publicamos hace un tiempo en la comunidad. Para mas información: Anuncio Oficial en...

Leer Más

Katana 2.0 Múltiples Distribuciones de Seguridad en tu USB

Katana 2.0, Tener todas las herramientas que puedas necesitar a la mano, siempre te facilita y agiliza la tarea que estés desempeñando, esto es algo acertado en todas las profesiones y en la seguridad informática es igual, si no contamos con las herramientas necesarias (Katana 2.0), un proceso puede atrasarse tiempo indeterminado o simplemente no se podría realizar antes de Katana 2.0. Por eso en nuestra comunidad siempre que encontramos una herramienta como katana 2.0 que pueda serte útil la publicamos sin dudarlo en nuestra categoría “Herramientas Seguridad” o te enseñamos a construir la combinación de herramientas que creas conveniente para que lleves siempre en tu memoria USB. Ya hemos hablado sobre Katana 2.0, una herramienta que permite incorporar múltiples distribuciones de seguridad en una memoria USB, el proyecto ha mejorado mucho desde la ultima vez que hablamos de el y es por eso que vuelve a aparecer una referencia a el en nuestra comunidad. Katana 2.0 ya se encuentra en la versión 2.0 y cuenta con la siguientes distribuciones de seguridad: Backtrack 4 the Ultimate Boot CD Ultimate Boot CD for Windows Ophcrack Live Puppy Linux CAINE Trinity Rescue Kit Clonezilla Kon-Boot Derik’s Boot and Nuke Ademas, si no podemos bootear desde la memoria en una maquina y si esta utiliza como sistema operativo Microsoft Windows, en esta nueva versión de Katana 2.0, podemos ejecutar el “Katana Tool Kit“, un sistema similar al de las memorias U3 de SanDisk que permite ejecutar las siguientes herramientas en sus versiones portables: Metasploit NMAP Cain & Able Cygwin. Wireshark Firefox PuTTY the Unstoppable Copier OllyDBG ProcessActivityView SniffPass Password Sniffer ClamAV IECookiesView MozillaCacheView FreeOTFE FindSSN The Sleuth Kit OpenOffice y un gran numero de herramientas se pueden adicionar a katana 2.0 Los cambios realizados de la versión 1.0 a la Katana 2.0 son los siguientes: Se añadió CAINE y Forge para instalar distribuciones adicionales Se añadió el Kon Boot para loguearse a los sistemas sin introducir claves Se eliminaron las siguientes distribuciones (OSWA Assistant, Damn Small Linux, Damn Vulnerable Linux, Slax) Se añadieron las siguientes distribuciones (Puppy Linux, Kaspersky Live, Trinity Rescue Kit, Clonezilla, Derik’s Boot and Nuke) Añadido el sistema “Katana Tool Kit” utilizando el trabajo realizado por la comunidad PortableApps Añadidas las siguientes herramientas para windows GNUWin32, Forensic Acquisition Utilities, Angry IP y The Sleuth Kit Se renombró la carpeta “home” a “Documents” Puedes descargar el Katana 2.0 vía torrent utilizando un cliente como uTorrent Descargar Katana 2.0 Mas Información: Pagina Oficial de Katana...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES