Análisis de tráfico de red para la detección de ataques – Parte I

España es el tercer país del mundo que más ciberataques recibe, sólo el año pasado se registraron más de 70.000 ataques. El análisis del tráfico de red permite desgranar las intenciones y acciones llevadas a cabo por el atacante.

Para realizar este análisis de red, vamos a emplear SNORT y WIRESHARK. Snort nos permitirá apuntar a los paquetes que realmente sean sospechosos, mediante la configuración de las alertas de la propia herramienta, mientras que Wireshark permitirá analizar la traza del intercambio de paquetes en general, para tener una mayor visibilidad acerca del ataque sufrido.

Configurando SNORT

El primer paso será configurar Snort. Encendemos nuestra máquina Kali Linux y simplemente ejecutamos los siguientes comandos que servirán para llevar a cabo la instalación de Snort:

apt-get update
apt-get install snort* -y

Cuando la instalación haya finalizado, ojeamos el fichero almacenado en /etc/snort/snort.conf y nos aseguramos de que todo está correcto, para ello, hacemos wget de https://testmyips.com y comprobamos la respuesta de Snort:

test-snort

Análisis del tráfico de red

Para este post, hemos escogido un archivo pcap de un reto lanzado por honeynet.org, donde facilitaban un archivo que contiene varios ataques de red bastante interesantes.

Con el siguiente comando, analizamos el fichero y comprobamos qué alertas lanza Snort:

snort -A console -i eth0 -c /etc/snort/snort.conf -r /root/Downloads/forensic-challenge2010-2.pcap

La salida por pantalla que se genera  es la siguiente:

===============================================================================
Breakdown by protocol (includes rebuilt packets):
Eth:          746 (100.000%)
VLAN:            0 (  0.000%)
IP4:          726 ( 97.319%)
UDP:          156 ( 20.912%)
TCP:          554 ( 74.263%)
ARP:           20 (  2.681%)
Other:            8 (  1.072%)
S5 G 1:            1 (  0.134%)
Total:          746
===============================================================================
Action Stats:
Alerts:           16 (  2.145%)
Logged:           16 (  2.145%)
Passed:            0 (  0.000%)
Limits:
Match:            0
Queue:            0
Log:            0
Event:            0
Alert:            3
Verdicts:
Allow:          745 (100.000%)
Block:            0 (  0.000%)
Replace:            0 (  0.000%)
Whitelist:            0 (  0.000%)
Blacklist:            0 (  0.000%)
Ignore:            0 (  0.000%)

 

De este análisis y parándonos a mirar los datos, se sacan varias conclusiones en claro:

  1. Los protocolos que se emplearon en la red durante el tiempo que se estuvo sniffando el tráfico son:
Protocolo Nº de paquetes (% sobre el total)
Eth 746 (100%)
IP4 726 (97.319%)
ICMP 8 (1.072%)
UDP 156 (20.912%)
TCP 554 (74.263%)
ARP 20 (2.681%)
Other 8 (1.072%)
S5 G 1 1 (0.134%)
  1. Se han levantado un total de 16 alertas Snort que habrá que analizar en detalle:
Estadística de acciones tomadas Nº de paquetes (% sobre el total)
Alertas 16 (2.145%)
Logged 16 (2.145%)
Passed 0 (0.000%)
  1. Se crearon un total de 25 sesiones TCP y 2 sesiones UDP durante el tiempo de sniffing.
  2. Se han procesado un total de 384 paquetes HTTP

Análisis de las alertas generadas

El análisis de Snort ha generado un total de 16 alertas:

01/01-02:00:29.655969  
[**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.2.2:67 -> 10.0.2.15:68 01/01-02:00:32.106181  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.2.2 -> 10.0.2.15 01/01-02:00:32.976559  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.2.2 -> 10.0.2.15 01/01-02:00:59.631215  [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.3.2:67 -> 10.0.3.15:68 01/01-02:01:02.296468  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.3.2 -> 10.0.3.15 01/01-02:01:03.171632  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.3.2 -> 10.0.3.15 01/01-02:01:14.490836  [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.3.15:1085 01/01-02:01:54.762776  [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.4.2:67 -> 10.0.4.15:68 01/01-02:01:57.613552  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.4.2 -> 10.0.4.15 01/01-02:01:58.458714  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.4.2 -> 10.0.4.15 01/01-02:02:09.981988  [**] [1:20744:3] WEB-CLIENT Microsoft Windows Media Player DirectShow MPEG-2 memory corruption attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.56.52:80 -> 10.0.4.15:1108 01/01-02:02:11.615398  [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.4.15:1111 01/01-02:03:15.053522  [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.4.15:1117 01/01-02:03:59.973544  [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.5.2:67 -> 10.0.5.15:68 01/01-02:04:02.182039  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.5.2 -> 10.0.5.15 01/01-02:04:03.092504  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.5.2 -> 10.0.5.15

De las cuales, vamos a centrarnos en las que nos parecen más sospechosas y/o peligrosas, que serán las que veamos en detalle y analicemos en profundidad:

  1. EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt: La propia alerta facilita información acerca del ataque. Se está produciendo un intento de elevación de privilegios.
  2. ICMP-INFO Time-To-Live Exceeded in Transit: Esta alerta se genera cuando un paquete agota su TTL en nuestra red y se replica al origen con un ICMP TTL Exceeded in transit.
  3. POLICY potential javascript unescape obfuscation attempt detected: Al igual que en el intento de EXPLOIT, en este caso se están intentando violar las políticas de seguridad de la empresa.
  4. B-CLIENT Microsoft Windows Media Player DirectShow MPEG-2 memory corruption attempt: La propia alerta facilita información acerta del ataque. Se está produciendo un intento de elevación de privilegios.

En la segunda parte, analizaremos en detalle los paquetes de las sesiones detectadas como potencialmente peligrosas. ¡Si queréis saber cómo actúan los hackers, no os lo perdáis!

By |2017-03-06T09:34:00+00:00mayo 22nd, 2015|Seguridad de la información|

Share This Article