Análisis de tráfico de red para la detección de ataques – Parte I

por | May 22, 2015 | Tecnología | 2 Comentarios

España es el tercer país del mundo que más ciberataques recibe, sólo el año pasado se registraron más de 70.000 ataques. El análisis del tráfico de red permite desgranar las intenciones y acciones llevadas a cabo por el atacante.

Para realizar este análisis de red, vamos a emplear SNORT y WIRESHARK. Snort nos permitirá apuntar a los paquetes que realmente sean sospechosos, mediante la configuración de las alertas de la propia herramienta, mientras que Wireshark permitirá analizar la traza del intercambio de paquetes en general, para tener una mayor visibilidad acerca del ataque sufrido.

Configurando SNORT

El primer paso será configurar Snort. Encendemos nuestra máquina Kali Linux y simplemente ejecutamos los siguientes comandos que servirán para llevar a cabo la instalación de Snort:

apt-get update
apt-get install snort* -y

Cuando la instalación haya finalizado, ojeamos el fichero almacenado en /etc/snort/snort.conf y nos aseguramos de que todo está correcto, para ello, hacemos wget de https://testmyips.com y comprobamos la respuesta de Snort:

test-snort

Análisis del tráfico de red

Para este post, hemos escogido un archivo pcap de un reto lanzado por honeynet.org, donde facilitaban un archivo que contiene varios ataques de red bastante interesantes.

Con el siguiente comando, analizamos el fichero y comprobamos qué alertas lanza Snort:

snort -A console -i eth0 -c /etc/snort/snort.conf -r /root/Downloads/forensic-challenge2010-2.pcap

La salida por pantalla que se genera  es la siguiente:

===============================================================================
Breakdown by protocol (includes rebuilt packets):
Eth:          746 (100.000%)
VLAN:            0 (  0.000%)
IP4:          726 ( 97.319%)
UDP:          156 ( 20.912%)
TCP:          554 ( 74.263%)
ARP:           20 (  2.681%)
Other:            8 (  1.072%)
S5 G 1:            1 (  0.134%)
Total:          746
===============================================================================
Action Stats:
Alerts:           16 (  2.145%)
Logged:           16 (  2.145%)
Passed:            0 (  0.000%)
Limits:
Match:            0
Queue:            0
Log:            0
Event:            0
Alert:            3
Verdicts:
Allow:          745 (100.000%)
Block:            0 (  0.000%)
Replace:            0 (  0.000%)
Whitelist:            0 (  0.000%)
Blacklist:            0 (  0.000%)
Ignore:            0 (  0.000%)

De este análisis y parándonos a mirar los datos, se sacan varias conclusiones en claro:

  1. Los protocolos que se emplearon en la red durante el tiempo que se estuvo sniffando el tráfico son:
Protocolo Nº de paquetes (% sobre el total)
Eth 746 (100%)
IP4 726 (97.319%)
ICMP 8 (1.072%)
UDP 156 (20.912%)
TCP 554 (74.263%)
ARP 20 (2.681%)
Other 8 (1.072%)
S5 G 1 1 (0.134%)
  1. Se han levantado un total de 16 alertas Snort que habrá que analizar en detalle:
Estadística de acciones tomadas Nº de paquetes (% sobre el total)
Alertas 16 (2.145%)
Logged 16 (2.145%)
Passed 0 (0.000%)
  1. Se crearon un total de 25 sesiones TCP y 2 sesiones UDP durante el tiempo de sniffing.
  2. Se han procesado un total de 384 paquetes HTTP

Análisis de las alertas generadas

El análisis de Snort ha generado un total de 16 alertas:

01/01-02:00:29.655969  [fusion_builder_container hundred_percent="yes" overflow="visible"][fusion_builder_row][fusion_builder_column type="1_1" background_position="left top" background_color="" border_size="" border_color="" border_style="solid" spacing="yes" background_image="" background_repeat="no-repeat" padding="" margin_top="0px" margin_bottom="0px" class="" id="" animation_type="" animation_speed="0.3" animation_direction="left" hide_on_mobile="no" center_content="no" min_height="none"][**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.2.2:67 -> 10.0.2.15:68

01/01-02:00:32.106181  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.2.2 -> 10.0.2.15

01/01-02:00:32.976559  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.2.2 -> 10.0.2.15

01/01-02:00:59.631215  [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.3.2:67 -> 10.0.3.15:68

01/01-02:01:02.296468  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.3.2 -> 10.0.3.15

01/01-02:01:03.171632  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.3.2 -> 10.0.3.15

01/01-02:01:14.490836  [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.3.15:1085

01/01-02:01:54.762776  [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.4.2:67 -> 10.0.4.15:68

01/01-02:01:57.613552  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.4.2 -> 10.0.4.15

01/01-02:01:58.458714  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.4.2 -> 10.0.4.15

01/01-02:02:09.981988  [**] [1:20744:3] WEB-CLIENT Microsoft Windows Media Player DirectShow MPEG-2 memory corruption attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {TCP} 192.168.56.52:80 -> 10.0.4.15:1108

01/01-02:02:11.615398  [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.4.15:1111

01/01-02:03:15.053522  [**] [1:21039:1] POLICY potential javascript unescape obfuscation attempt detected [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 64.236.114.1:80 -> 10.0.4.15:1117

01/01-02:03:59.973544  [**] [1:17433:3] EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt [**] [Classification: Attempted User Privilege Gain] [Priority: 1] {UDP} 10.0.5.2:67 -> 10.0.5.15:68

01/01-02:04:02.182039  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.5.2 -> 10.0.5.15

01/01-02:04:03.092504  [**] [1:449:7] ICMP-INFO Time-To-Live Exceeded in Transit [**] [Classification: Misc activity] [Priority: 3] {ICMP} 10.0.5.2 -> 10.0.5.15

De las cuales, vamos a centrarnos en las que nos parecen más sospechosas y/o peligrosas, que serán las que veamos en detalle y analicemos en profundidad:

  1. EXPLOIT Oracle Solaris DHCP Client Arbitrary Code Execution attempt: La propia alerta facilita información acerca del ataque. Se está produciendo un intento de elevación de privilegios.
  2. ICMP-INFO Time-To-Live Exceeded in Transit: Esta alerta se genera cuando un paquete agota su TTL en nuestra red y se replica al origen con un ICMP TTL Exceeded in transit.
  3. POLICY potential javascript unescape obfuscation attempt detected: Al igual que en el intento de EXPLOIT, en este caso se están intentando violar las políticas de seguridad de la empresa.
  4. B-CLIENT Microsoft Windows Media Player DirectShow MPEG-2 memory corruption attempt: La propia alerta facilita información acerta del ataque. Se está produciendo un intento de elevación de privilegios.

En la segunda parte, analizaremos en detalle los paquetes de las sesiones detectadas como potencialmente peligrosas. ¡Si queréis saber cómo actúan los hackers, no os lo perdáis![/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]

2 Comentarios

  1. Pepe Came

    De donde sacaste esas alertas ? Snort no las da y en tu propio snapshot no se visualizan.

    Responder
    • Pablo Campos

      Gracias por el aviso sobre el snapshot, ya está cambiado ,)

      En cuanto a las alertas generadas: Snort fue ejecutado con nuestros propios ficheros de reglas, si quiere información sobre estos ficheros, mándenos un mail y lo hablamos.

      Un saludo.

      Responder

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Conoce conceptos clave de la era digital en nuestro HUB

 

 

Descarga nuestro ebook con todo lo que necesitas saber sobre IoT Industrial.

Suscríbete a nuestra newsletter

Recibe las últimas noticias sobre innovación y nuevas tecnologías y mantente al día de los avances más destacados

Cesión de datos

Calle Factores 2, 41015 Seville

Phone: +34 618 72 13 58

Email: info@secmotic.com

MENU

We are

We do

Blog

Contact