Uso de filtros en Wireshark para detectar

actividad maliciosa
POR FERNANDO CATOIRA PUBLICADO 28 ENE 2013 - 02:58PM
HERRAMIENTAS
2
TAGS
ANALISIS
ANALISIS DE MALWARE
ANALISIS DINAMICO

MALWARE
WIRESHARK-LA-ES

0
inShare
Ad by YTAdRemoval | Close
Desde el Laboratorio de ESET Latinoamrica las muestras son analizadas con el fin de
obtener informacin sobre su comportamiento. El anlisis dinmico de red se realiza en
gran parte con Wireshark y brinda informacin en cuanto a las conexiones que se llevan a
cabo.
Qu es Wireshark?
Wireshark es una herramienta multiplataforma utilizada para realizar anlisis sobre
paquetes de red. La utilizacin de esta herramienta puede parecer de gran complejidad en un
principio, pero es de gran utilidad una vez conocida su interfaz y su forma de operar. Existen
diferentes usos para los cuales puede aplicarse Wireshark. Dentro del anlisis dinmico de
cdigos maliciosos se la utiliza para detectar conexiones ocultas del propio malware con
direcciones remotas para obtener otros archivos, para reportarse a un panel de control en
caso de una botnet, entre otras variantes.
En primera instancia, para realizar un anlisis dinmico de un cdigo malicioso se procede a
infectar un sistema en un entorno controlado. Por lo general, se recurre a una mquina
virtual. De esta forma, es posible ejecutar Wireshark y seleccionar la interfaz de red de la
mquina virtual para comenzar a capturar los paquetes de red. A continuacin puede
visualizarse una captura de cmo se realiza la mencionada tarea:

Utilizacin de filtros
Una vez iniciada la captura es posible filtrar los paquetes capturados de acuerdo a la
necesidad de quien est analizando el malware. Como primer tarea, es posible reconocer a
que servidores se conect a travs de las peticiones DNS. Para observarlo con ms
comodidad es posible aplicar un filtro. Especficamente, si se escribe DNS en el campo de los
filtros y se lo aplica, sern visibles todas las resoluciones de nombres en direcciones IP. En el
caso del malware, permite reconocer con que servidores se conecta. A continuacin puede
observarse una captura:

Otro aspecto a tener en cuenta son las peticiones realizadas. Aplicando el
filtro http.request es posible obtener todos los GET y POST que fueron realizados durante
el periodo de captura. Este tipo de peticiones es muy utilizado por los cdigos maliciosos,
incluso para enviar informacin sobre el sistema infectado. A continuacin, puede
observarse una captura de un anlisis real sobre un malware que obtiene datos y archivos
desde un servidor remoto:

Un caso particular han sido aquellos cdigos maliciosos que utilizan el protocolo SMTP para
propagarse a travs de correo electrnico. En estos casos es posible visualizar dichos
paquetes a travs del filtro SMTP o incluso es posible filtrar los paquetes para observar, por
ejemplo, el remitente del correo. Esto se realiza a travs del filtro smtp.req.parameter &&
contains FROM. De la misma forma, es posible visualizar aquellos paquetes que contienen
el cuerpo del mensaje. Esta tarea puede realizarse a travs de filtro smtp.data.fragment. A
continuacin puede visualizarse una captura con uno de los filtros aplicado:

Es importante resaltar que los filtros explicados anteriormente no son los nicos. Existen una
gran variedad para aplicar de acuerdo a la necesidad. Otro punto a tener en cuenta es que
a medida que se obtienen los paquetes de acuerdo al filtro aplicado, es posible obtener toda
la secuencia del paquete completo si es necesario. Para ello, solo es necesario colocar el
cursor sobre el propio paquete y en el men contextual elegir la opcin de follow tcp stream.
De esa forma se podr visualizar el paquete completo tal como se muestra en la siguiente
imagen:

Los filtros son de gran utilidad y pueden ser aplicados en conjunto como parte de
operaciones lgicas. Pueden utilizarse sobre la captura o especificarse previamente para
que solo capturen lo especificado en el propio filtro. Este tipo de herramientas no solo es
utilizado en el anlisis de malware sino tambin en el estudio de protocolos de red, la
bsqueda de vulnerabilidades y dems aplicaciones.
Fernando Catoira
Analista de Seguridad
Autor Fernando Catoira, ESET