La Comunidad DragonJAR

En la charla que estuve dando en el curso de perito telemático forense, cuando llegaba a la parte de la respuesta ante incidentes siempre explico, que una de las maneras más rápidas de empezar a poder saber si ha pasado algo es mirar el tráfico de red.

Por eso es imprescindible el saber usar herramientas como Wireshark. Este analizador de tráfico nos puede salvar de un problema en múltiples escenarios y los usos que se le pueden dar son infinitos.

Esta imagen será familiar para mas de uno, es la ventana con captura de tráfico de Wireshark, podemos encontrar muchas de ellas si buscamos en Google.

Vamos ha hacer una prueba mirando una captura de tráfico:

En una red es normal que podamos ver diferentes cosas, desde tráfico que provoca la aplicación Dropbox, que busca sincronizar en LOCAL. También podremos ver cosas como DHCPv6 etc..

Una de las cosas que podemos configurar en Wireshark para ver mejor el tráfico es lo siguiente:

Habilitamos network name resolution, nos ayudará en las capturas de tráfico.

Si queremos mirar algún evento en concreto podemos hacer el follow UDP stream, TCP stream

Podemos ver la trama del paquete, y si queremos podemos ver el tráfico de red entre un equipo en concreto,si queremos.

Podremos ver tráfico de red, de equipos preguntando por otros equipos.

Si queremos filtrar en la captura por tráfico DHCP, por ejemplo.

Podemos filtrar por DHCP, pero que pasa si queremos filtrar por una IP en concreto.

Los filtros de Wireshark son muy potentes.

Pero otra de las cosas que podemos hacer es ver el tráfico y incluso poder ver que aplicaciones tienen los usuarios tienen instaladas.

Vemos en la captura que ese usuario está usando Virtualbox.

En una investigación en la que tenemos que tratar tráfico de red, si no contamos con algunos tricks puede ser una tarea bastante tediosa.

Una de las primeras cosas que tendremos que saber es:

¿Qué queremos obtener?

Imaginad que estamos en un equipo anti-fraude y tenemos que mandar a cerrar al ISP aquellos dominios relacionados con phishing o malware. En este caso nos dará igual las peticiones GET o POST (aunque también son útiles), lo más rápido que buscaremos son las peticiones DNS, por ejemplo. En este caso no hará falta que revisemos el pcap entero, podríamos directamente extraer las peticiones DNS, si además lo podemos scriptar mucho mejor, por si hay que mirar mucha cantidad de paquetes.

¿Que herramientas nos pueden ayudar?

Bueno, en este caso mostraré la versión GUI de la herramienta y luego la versión consola, que es de lo que trata el artículo

Wireshark

Esta imagen nos debería de ser muy familiar, se trata de Wireshark, este programa nos sirve entre otras cosas para capturar el tráfico de red.

Si abrimos un pcap podemos ver gráficamente todo el flujo de datos, además podremos aplicar filtros para hacer las búsquedas que necesitemos.

Seleccionando el filtro adecuado podríamos obtener por pantalla el resultado del filtro en el pcap.

A mi me encantan las interfaces GUI, pero reconozco que es mucho más rápido y, además puedes procesar mas cantidad de información el poder usar alguna herramienta del tipo command line.

En este caso usaremos tshark, la versión de consola de Wireshark.

Se puede encontrar en los repositorios, para instalarlo solo hemos de hacer:

apt-get install tshark

Vamos a ver unos ejemplos para obtener cierta información de un pcap.

Extrayendo peticiones DNS

Para extraer peticiones DNS de un pcap tendríamos que lanzar tshark de la siguiente forma:

tshark -r PCAP -T fields -e ip.src -e dns.qry.name -R “dns.flags.response eq 0″

En este caso veríamos por pantalla:

Extrayendo User-agents

En una determinada investigación, puede ser útil extraer los user agents del pcap, la sentencia de tshark sería:

tshark -nn -r PCAP -T fields -e ip.src -e http.user_agent -R “http.user_agent”

Por pantalla podemos ver los resultados

Extrayendo peticiones MYSQL

Imaginad que en una investigación una base de datos forma parte de la investigación, también podemos extraer facilmente información del pcap

La sentencia de tshark sería:

tshark -r PCAP -d tcp.port==3306,mysql -T fields -e mysql.query

Por pantalla podemos ver los resultados de nuevo:

Peticiones GET:

Si queremos de manera rápida, extraer las peticiones GET, con tshark realizamos:

tshark -r PCAP -R “http.request.method==GET”

Por pantalla nos muestra:

Aunque hemos visto que podemos extraer información de un pcap, con tshark, podremos también capturar tráfico de red y pedir con filtros tráfico específico

Capturar peticiones HTTP:

La sentencia con tshark sería:

tshark ‘tcp port 80 and (((ip[2:2] – ((ip[0]&0xf)<<2)) – ((tcp[12]&0xf0)>>2)) != 0)’ -R ‘http.request.method == “GET” || http.request.method == “HEAD”‘

Y lo que veríamos en el output de tshark es:

190.302141 192.168.0.199 -> 74.125.77.104 HTTP GET / HTTP/1.1
190.331454 192.168.0.199 -> 74.125.77.104 HTTP GET /intl/en_com/images/srpr/logo1w.png HTTP/1.1

190.353211 192.168.0.199 -> 74.125.77.104 HTTP GET /images/srpr/nav_logo13.png HTTP/1.1190.400350 192.168.0.199 -> 74.125.77.100 HTTP GET /generate_204 HTTP/1.1

En este artículo hemos visto como podemos con tshark extraer información de un pcap, además de como podemos capturar tráfico aplicando un filtro específico.

No he podido encontrar un cheatsheet de tshark, ¿Te animas a compartir algún script con tshark?

ACTUALIZADO: acabo de recibir otro correo, esta vez de Borja Merino (autor del texto), indicándome sobre algunas correcciones y mejoras realizadas al articulo, subo la nueva versión y actualizo la entrada para que todos disfruten de ella.

Hace poco recibí un correo de Jorge Chinea López en el que me comenta sobre un manual creado por INTECO (Instituto Nacional de Tecnologías de la Comunicación de España), sobre el “Análisis de tráfico con Wireshark”.

Este documento nos enseña con lujo de detalles como analizar trafico utilizando el famoso sniffer de red Wireshark, la temática del manual va desde el manejo de la herramienta como tal, hasta la detección de ataques locales (ARP Spoof, DNS Spoof, PORT Flooding, DoS) y el uso de herramientas como Snort para la detección de intrusos, lo dejo con la tabla de contenidos y el documento para ver online.

Leer más…

Katana 2.0, Tener todas las herramientas que puedas necesitar a la mano, siempre te facilita y agiliza la tarea que estés desempeñando, esto es algo acertado en todas las profesiones y en la seguridad informática es igual, si no contamos con las herramientas necesarias (Katana 2.0), un proceso puede atrasarse tiempo indeterminado o simplemente no se podría realizar antes de Katana 2.0.

Por eso en nuestra comunidad siempre que encontramos una herramienta como katana 2.0 que pueda serte útil la publicamos sin dudarlo en nuestra categoría “Herramientas Seguridad” o te enseñamos a construir la combinación de herramientas que creas conveniente para que lleves siempre en tu memoria USB.

Ya hemos hablado sobre Katana 2.0, una herramienta que permite incorporar múltiples distribuciones de seguridad en una memoria USB, el proyecto ha mejorado mucho desde la ultima vez que hablamos de el y es por eso que vuelve a aparecer una referencia a el en nuestra comunidad.

Katana 2.0 ya se encuentra en la versión 2.0 y cuenta con la siguientes distribuciones de seguridad: Leer más…

Con el fin de motivar en área de la seguridad de la información a los campuseros y asistentes al Campus Party Co, el miércoles 30 de junio, la comunidad tuvo una representación más en la cual se realizo el taller denominado “Wireshark, ataque y contramedidas arp-spoofing usando ettercap y arpwatch” a manos del miembro activo Carlos Andrés Rodallega Obando más conocido en la comunidad como Roguer.

El taller tuvo una buena acogida de parte de los campuseros, ya que arranco con una introducción bastante simple, de inmediato con el fin de no perder la atención de los asistentes, el taller se inicio con un nivel básico haciendo capturas y poco a poco se fue subiendo el nivel al punto de llegar al manejo de filtros compuestos con wireshark, también se usaron herramientas bastante conocidas como lo es netcat (se creo un chat y se transfirieron archivos), con el fin de generar tráfico en la red. La parte de wireshark finalizo con la reconstrucción de un archivo a partir de los datos guardados de una captura usando tcpxtract. Leer más…

Wireshark es una herramienta gráfica utilizada por los profesionales de la seguridad y las redes para identificar y analizar el tipo tráfico en un momento determinado. En el mundo de la IT se denominan analizadores de protocolos de red, analizadores de paquetes, packet sniffer o sniffer. Wireshark permite analizar los paquetes de datos en una red activa como también desde un archivo de lectura previamente generado.

En la comunidad somos conscientes de la importancia de esta herramienta, por eso hemos publicado el Wireshark Portable, la Guía Básica de Wireshark y ahora les traigo una serie de vídeo tutoriales, creados por CACE Technologies, la casa del Wireshark, donde nos explican el funcionamiento de esta excelente herramientas y nos muestran algunos casos en los que Wireshark ha salvado el día. Leer más…

Wireshark es una de esas herramientas que no pueden faltar a la hora de realizar un test de penetración, ya que mayoría de veces por las redes que se analizan pasan una gran cantidad de datos sin cifrar que ponen en riesgo la seguridad de la organización.

El problema es que para utilizar Wireshark, es necesario instalar las librerías Wincap, lo cual necesariamente deja un rastro en el equipo utilizado, algo nada recomendable y algunas veces prohibido en este tipo de auditorias. Leer más…

Este es el segundo capitulo de “El Atacante Informático”, un libro escrito por Jhon César Arango, que se publicará capitulo a capitulo de forma gratuita y de manera bimestral, simultáneamente en IT Forensic y en La Comunidad DragonJAR.

Este libro reúne desde los conceptos más básicos a los más avanzados de la Seguridad Informática. En la segunda entrega se explican los diferentes protocolos que hacen posible la comunicación entre computadoras, el modelo OSI, el protocolo TCP/IP, ICMP, UDP y ARP con el que se finaliza realizando un laboratorio practico. Leer más…