Desenmascara.me

Luxury & Fashion brands; be aware of the online counterfeiting!: desenmascara.me

martes, 2 de febrero de 2010

Desafío forense: analizando una traza de red

El proyecto "The honeynet project" tiene como finalidad estudiar las herramientas, tácticas, y motivos de los ataques de red y ordenadores, y compartir las lecciones aprendidas. Para ello, suelen fomentar concursos de análisis de ataques para descubrir técnicas usadas por los diferentes participantes y así enriquecernos todos. Hacía años que no organizaban concursos de este tipo, pero a raíz de un twiter de @lostinsecurity, me entero de que este mes empieza uno de ellos.

Se trata de analizar una traza de red que proporcionan, y responder a una serie de preguntas. Hay tiempo hasta el 1 de febrero. Se trata de una gran oportunidad de aprender, ya que después de invertir tiempo intentando descubrir que ocurrió y teorizando, tienes acceso a las soluciones ganadoras para comprobar cuan equivocado estabas en tus especulaciones.


Empezando
Lo primero que hago es descargarme la traza de red y comprobar el checksum.
ecasbas@laptop:~/proyectos/honey-forensics$ sha1sum attack-trace.pcap_.gz
0f5ddab19034b2656ec316875b527d9bff1f035f  attack-trace.pcap_.gz

OK, es correcta. La descomprimo y la abro con wireshark para echar un vistazo general.
Algunos detalles llaman inmediatamente mi atención.

1. Sólo hay dos ips involucradas.
2. Observo algunas cadenas con intercambios de paquetes NTLMSPP. NTLMSPP es un protocolo de autenticación de Microsoft por lo que ya podemos intuir que el servidor objetivo es un Windows.
3. Hay algún paquete duplicado y otros con RST. Esto es extraño en TCP porque si falla, intentará retransmitir de nuevo. Algo no le ha gustado al servidor y ha finalizado la conexión, ¿o se trata de algún tipo de fingerprinting?
4. Lo siguiente que veo son múltiples conexiones con destino y origen protocolo SOCKS en el servidor.
5. En las últimas líneas, algo ocurre porque también vemos paquetes RST y un simpático mensaje de despedida.

Estos datos simplemente con un primer vistazo, en próximas entradas los veremos en detalle.

Cualquier otra interpretación de los paquetes es más que bienvenida.

No hay comentarios:

Publicar un comentario

Trata a los demás como te gustaría ser tratado.