martes, 24 de marzo de 2015

DShell  - Framework para análisis forense en redes.





Dshell, está escrito enteramente en Python, toda la base de código se puede personalizar para problemas particulares rápidamente y fácilmente. Al ser una herramienta muy flexible es posible ajustar un decodificador existente para extraer información ligeramente diferente de los protocolos existentes, y la de escribir un nuevo analizador para un protocolo completamente nuevo.  

Tiene como finalidad realizar marcos de análisis forense extensible que permite a los usuarios desarrollar rápidamente plugins para capturas de paquetes de la red a analizar. Dicha herramienta fue desarrollado por el Laboratorio de Investigación del Ejército de Estados Unidos. Dshell se encarga de volver a montar corriente de IPv4 e IPv6 tráfico de red y también incluye la geolocalización y los datos de mapeo de IP a ASN para cada conexión. También permite el desarrollo de la red de análisis de los plug-ins que se han diseñado para ayudar en la comprensión de tráfico de la red y presentar los resultados al usuario de una manera concisa y útil al permitir a los usuarios para analizar y presentar los datos de interés de varios niveles de la red apilar.DSHELL ha reducido el tiempo necesario para identificar y responder a los desafíos de la red forenses.



Descargar Dshell : https://github.com/USArmyResearchLab/Dshell



Instalación :




En esta ocasión voy a ejecutar Dshell en Ubuntu 14.04, para hacer breve la descarga y la ejecución es necesario digitar las siguiente líneas en la consola.



jalil@ubuntu:~/jalil$ sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap python-pip unzip build-essential

jalil@ubuntu:~/jalil$ sudo pip install pygeoip

jalil@ubuntu:~/jalil$ wget https://github.com/USArmyResearchLab/Dshell/archive/master.zip

jalil@ubuntu:~/jalil$ unzip master.zip

jalil@ubuntu:~/jalil$ cd Dshell-master

jalil@ubuntu:~/jalil/Dshell-master$ make


Para realizar las pruebas es necesario disponer de un archivo pcap. Por ellos vamos a descargar un archivo públicos de Netresec:





jalil@ubuntu:~/jalil/Dshell-master$ wget http://download.netresec.com/pcap/maccdc-2012/maccdc2012_00016.pcap.gz


jalil@ubuntu:~/jalil/Dshell-master$ gzip -d maccdc2012_00016.pcap.gz


Para iniciar vamos a digitar el siguiente comando.

jalil@ubuntu:~/jalil/Dshell-master$ ./dshell
jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d




Tras la ejecución del comando vamos a poder visualizar las opciones que nos brinda Dshell. Ahora vamos a seleccionar un comando que nos brindara la lista de los decoders.


jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -l





Para la siguiente prueba vamos a utilizar el modulo netflow el cual nos organizara la captura d ela red de tal forma que podemos identificar fácilmente los eventos relevantes.


jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d  maccdc2012_00016.pcap





En el siguiente imagen mostraremos búsquedas de DNS en el tráfico de la muestra descargada previamente.


jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d  dns maccdc2012_00016.pcap




En la siguiente imagen también podemos observar mas búsquedas DNS cuya información es de gran valor al momento que de los análisis forenses.





Otro módulo que nos puede arrojar información interesante es followstream . Como ya sabemos, el archivo pcap contiene los paquetes de las diferentes conexiones de red que fueron ocurriendo en un determinado sistema, pero utilizando este módulo es posible reconstruir las diferentes conexiones, en orden de ocurrencia, y de esta forma identificar lo que ocurrió en cada una de ellas.


jalil@ubuntu:~/jalil/Dshell-master Dshell> decode -d followstream maccdc2012_00016.pcap

Por ejemplo, en la siguiente imagen podemos observar que un atacante ha estado persistiendo tratando de explotar una vulnerabilidad LFI. Estos ataques suelen ser recurrentes como el mismo SQL Injection.





Bueno creo que hemos llegado al final del post, espero que la información brindada les sea de utilidad en un futuro próxima. También espero que puedan complementar la herramienta ya que dispone de una gran flexibilidad para añadir propios módulos de análisis. Sin mas que adicionar me despido y será hasta la próxima oportunidad.







PD : Desde aquí quiero enviar un gran saludo a alguien muy especial para mi, alguien que el 27 de Febrero hizo que mi vida diera un giro total y lo sigue haciendo hasta el día de hoy. Espero que todo continué como hasta ahora y solo puedo decirte que nos vemos en Agosto ... ;)






1 comentario:

  1. Hola bro yo también soy de Perú,me gustaria contactarme con usted no se si tendra skype ??
    saludos

    ResponderEliminar