Qu es Wireshark?

Wireshark es una herramienta multiplataforma utilizada para realizar anlisis sobre

paquetes de red. La utilizacin de esta herramienta puede parecer de gran complejidad en un
principio, pero es de gran utilidad una vez conocida su interfaz y su forma de operar. Existen
diferentes usos para los cuales puede aplicarse Wireshark. Dentro del anlisis dinmico de
cdigos maliciosos se la utiliza para detectar conexiones ocultas del propio malware con
direcciones remotas para obtener otros archivos, para reportarse a un panel de control en
caso de una botnet, entre otras variantes.

En primera instancia, para realizar un anlisis dinmico de un cdigo malicioso se procede a

infectar un sistema en un entorno controlado. Por lo general, se recurre a una mquina
virtual. De esta forma, es posible ejecutar Wireshark y seleccionar la interfaz de red de la
mquina virtual para comenzar a capturar los paquetes de red. A continuacin puede
visualizarse una captura de cmo se realiza la mencionada tarea:

Utilizacin de filtros

Una vez iniciada la captura es posible filtrar los paquetes capturados de acuerdo a la
necesidad de quien est analizando el malware. Como primer tarea, es posible reconocer a
que servidores se conect a travs de las peticiones DNS. Para observarlo con ms
comodidad es posible aplicar un filtro. Especficamente, si se escribe DNS en el campo de los
filtros y se lo aplica, sern visibles todas las resoluciones de nombres en direcciones IP. En el
caso del malware, permite reconocer con que servidores se conecta. A continuacin puede
observarse una captura:
Otro aspecto a tener en cuenta son las peticiones realizadas. Aplicando el
filtro http.request es posible obtener todos los GET y POST que fueron realizados durante
el periodo de captura. Este tipo de peticiones es muy utilizado por los cdigos maliciosos,
incluso para enviar informacin sobre el sistema infectado. A continuacin, puede
observarse una captura de un anlisis real sobre un malware que obtiene datos y archivos
desde un servidor remoto:

Un caso particular han sido aquellos cdigos maliciosos que utilizan el protocolo SMTP para
propagarse a travs de correo electrnico. En estos casos es posible visualizar dichos
paquetes a travs del filtro SMTP o incluso es posible filtrar los paquetes para observar, por
ejemplo, el remitente del correo. Esto se realiza a travs del filtro smtp.req.parameter &&
contains FROM. De la misma forma, es posible visualizar aquellos paquetes que contienen
el cuerpo del mensaje. Esta tarea puede realizarse a travs de filtro smtp.data.fragment. A
continuacin puede visualizarse una captura con uno de los filtros aplicado:

Es importante resaltar que los filtros explicados anteriormente no son los nicos. Existen una
gran variedad para aplicar de acuerdo a la necesidad. Otro punto a tener en cuenta es que
a medida que se obtienen los paquetes de acuerdo al filtro aplicado, es posible obtener toda
la secuencia del paquete completo si es necesario. Para ello, solo es necesario colocar el
cursor sobre el propio paquete y en el men contextual elegir la opcin de follow tcp stream.
De esa forma se podr visualizar el paquete completo tal como se muestra en la siguiente
imagen:

Los filtros son de gran utilidad y pueden ser aplicados en conjunto como parte de
operaciones lgicas. Pueden utilizarse sobre la captura o especificarse previamente para
que solo capturen lo especificado en el propio filtro. Este tipo de herramientas no solo es
utilizado en el anlisis de malware sino tambin en el estudio de protocolos de red, la
bsqueda de vulnerabilidades y dems aplicaciones.

Que es?
Se trata de un potente sniffer de red de software libre heredero de Ethereal, (este os
suena?), que nos permite capturar y monitorizar todos los paquetes de red que pasan por
nuestro equipo con el solo hecho de poner nuestra tarjeta de red a escuchar en modo
promiscuo, es decir, dicindole a nuestra tarjeta que capture todo el trfico que pase por ella.
A diferencia de TCPDump (otro analizador de protocolos) nos ofrece una amigable interfaz
grfica con muchas opciones para filtrar y buscar la informacin.

Para que nos sirve?

Tener la informacin detallada que nos facilita este programa nos permite poder analizar el
trfico que pasa por nuestra red y as poder solucionar o incluso prevenir los posibles
problemas que puedan surgir. Por ejemplo, imaginaros que os va muy lenta la conexin a
Internet y no sabis porque, con este sniffer podris observar si en vuestro equipo se est
generando trfico no deseado (p. ej. est infectado por un troyano).

Tambin se puede emplear para el aprendizaje de los diferentes protocolos de red, ya que nos
permite observar de forma detalla las cabeceras de los protocolos que hemos estudiado
tericamente y con ello ayudarnos a comprender la utilidad y la funcin de cada uno de sus
campos.

Otra posibilidad, es utilizarlo de modo delictivo con la intencin de robar informacin de

terceros, por ejemplo, para intentar conectarse a una red Wi-Fi protegida con WEP. Para esto
no lo utilicis.

Captura con la visin detallada del protocolo TCP

Una vez que ya conoces la herramienta no queda ms que empezar a utilizarla para que
puedas observar y entender todo el trfico que pasa por tu ordenador.