España es el tercer país del mundo que más ciberataques recibe, sólo el año pasado se registraron más de 70.000 ataques. El análisis del tráfico de red permite desgranar las intenciones y acciones llevadas a cabo por el atacante.
Para realizar este análisis de red, vamos a emplear SNORT y WIRESHARK. Snort nos permitirá apuntar a los paquetes que realmente sean sospechosos, mediante la configuración de las alertas de la propia herramienta, mientras que Wireshark permitirá analizar la traza del intercambio de paquetes en general, para tener una mayor visibilidad acerca del ataque sufrido.
Configurando SNORT
El primer paso será configurar Snort. Encendemos nuestra máquina Kali Linux y simplemente ejecutamos los siguientes comandos que servirán para llevar a cabo la instalación de Snort:
apt-get update apt-get install snort* -y
Cuando la instalación haya finalizado, ojeamos el fichero almacenado en /etc/snort/snort.conf y nos aseguramos de que todo está correcto, para ello, hacemos wget de https://testmyips.com y comprobamos la respuesta de Snort:
Análisis del tráfico de red
Para este post, hemos escogido un archivo pcap de un reto lanzado por honeynet.org, donde facilitaban un archivo que contiene varios ataques de red bastante interesantes.
Con el siguiente comando, analizamos el fichero y comprobamos qué alertas lanza Snort:
snort -A console -i eth0 -c /etc/snort/snort.conf -r /root/Downloads/forensic-challenge2010-2.pcap
La salida por pantalla que se genera es la siguiente:
=============================================================================== Breakdown by protocol (includes rebuilt packets): Eth: 746 (100.000%) VLAN: 0 ( 0.000%) IP4: 726 ( 97.319%) UDP: 156 ( 20.912%) TCP: 554 ( 74.263%) ARP: 20 ( 2.681%) Other: 8 ( 1.072%) S5 G 1: 1 ( 0.134%) Total: 746
=============================================================================== Action Stats: Alerts: 16 ( 2.145%) Logged: 16 ( 2.145%) Passed: 0 ( 0.000%) Limits: Match: 0 Queue: 0 Log: 0 Event: 0 Alert: 3 Verdicts: Allow: 745 (100.000%) Block: 0 ( 0.000%) Replace: 0 ( 0.000%) Whitelist: 0 ( 0.000%) Blacklist: 0 ( 0.000%) Ignore: 0 ( 0.000%)
De este análisis y parándonos a mirar los datos, se sacan varias conclusiones en claro:
- Los protocolos que se emplearon en la red durante el tiempo que se estuvo sniffando el tráfico son:
| Protocolo | Nº de paquetes (% sobre el total) |
| Eth | 746 (100%) |
| IP4 | 726 (97.319%) |
| ICMP | 8 (1.072%) |
| UDP | 156 (20.912%) |
| TCP | 554 (74.263%) |
| ARP | 20 (2.681%) |
| Other | 8 (1.072%) |
| S5 G 1 | 1 (0.134%) |
- Se han levantado un total de 16 alertas Snort que habrá que analizar en detalle:
| Estadística de acciones tomadas | Nº de paquetes (% sobre el total) |
| Alertas | 16 (2.145%) |
| Logged | 16 (2.145%) |
| Passed | 0 (0.000%) |
- Se crearon un total de 25 sesiones TCP y 2 sesiones UDP durante el tiempo de sniffing.
- Se han procesado un total de 384 paquetes HTTP
Análisis de las alertas generadas
El análisis de Snort ha generado un total de 16 alertas:
01/01-02:00:29.655969 [fusion_builder_container hundred_percent="yes" overflow="visible"][fusion_builder_row][fusion_builder_column type="1_1" background_position="left top" background_color="" border_size="" border_color="" border_style="solid" spacing="yes" background_image="" background_repeat="no-repeat" padding="" margin_top="0px" margin_bottom="0px" class="" id="" animation_type="" animation_speed="0.3" animation_direction="left" hide_on_mobile="no" center_content="no" min_height="none"][**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.2.2:67 -> 10.0.2.15:68
01/01-02:00:32.106181 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.2.2 -> 10.0.2.15
01/01-02:00:32.976559 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.2.2 -> 10.0.2.15
01/01-02:00:59.631215 [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.3.2:67 -> 10.0.3.15:68
01/01-02:01:02.296468 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.3.2 -> 10.0.3.15
01/01-02:01:03.171632 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.3.2 -> 10.0.3.15
01/01-02:01:14.490836 [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.3.15:1085
01/01-02:01:54.762776 [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.4.2:67 -> 10.0.4.15:68
01/01-02:01:57.613552 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.4.2 -> 10.0.4.15
01/01-02:01:58.458714 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.4.2 -> 10.0.4.15
01/01-02:02:09.981988 [**] [1:20744:3] WEB-CLIENT Microsoft Windows Media Player DirectShow MPEG-2 memory corruption attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.56.52:80 -> 10.0.4.15:1108
01/01-02:02:11.615398 [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.4.15:1111
01/01-02:03:15.053522 [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.4.15:1117
01/01-02:03:59.973544 [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.5.2:67 -> 10.0.5.15:68
01/01-02:04:02.182039 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.5.2 -> 10.0.5.15
01/01-02:04:03.092504 [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.5.2 -> 10.0.5.15
De las cuales, vamos a centrarnos en las que nos parecen más sospechosas y/o peligrosas, que serán las que veamos en detalle y analicemos en profundidad:
- EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt: La propia alerta facilita información acerca del ataque. Se está produciendo un intento de elevación de privilegios.
- ICMP-INFO Time-To-Live Exceeded in Transit: Esta alerta se genera cuando un paquete agota su TTL en nuestra red y se replica al origen con un ICMP TTL Exceeded in transit.
- POLICY potential javascript unescape obfuscation attempt detected: Al igual que en el intento de EXPLOIT, en este caso se están intentando violar las políticas de seguridad de la empresa.
- B-CLIENT Microsoft Windows Media Player DirectShow MPEG-2 memory corruption attempt: La propia alerta facilita información acerta del ataque. Se está produciendo un intento de elevación de privilegios.
En la segunda parte, analizaremos en detalle los paquetes de las sesiones detectadas como potencialmente peligrosas. ¡Si queréis saber cómo actúan los hackers, no os lo perdáis![/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
De donde sacaste esas alertas ? Snort no las da y en tu propio snapshot no se visualizan.
Gracias por el aviso sobre el snapshot, ya está cambiado ,)
En cuanto a las alertas generadas: Snort fue ejecutado con nuestros propios ficheros de reglas, si quiere información sobre estos ficheros, mándenos un mail y lo hablamos.
Un saludo.