Planeta Spam 5. Análisis forense de redes.

Laura  Chappell es una investigadora forense que ha fundado su propia universidad. Para estudiar la que para ella representa la más importante herramienta en ciberseguridad: el programa Wireshark.

Su pasión por dicho software analizador de redes, surgió en medio de varios análisis forenses en vivo. El primero en una empresa. Empezó a descubrir muchos signos de dólar en las secuencias de paquetes de información. Tras ensamblar la información, se hizo con todas las nóminas de los empleados; que se movían ilegalmente al exterior, hacia internet.

En otra ocasión, en un hospital, demostró la exfiltración maliciosa de datos de pacientes por parte de estudiantes universitarios.

Para Laura, el aspecto más desafiante del análisis forense de redes lo constituyen aquellos procesos maliciosos que "llaman a casa".

Eso es precisamente lo que veremos a continuación con un malware ya conocido: Lokibot.

Se procedió a descargar una muestra en formato pcap de las conexiones de red realizadas por el troyano. Simplemente se accedió a Any y se pinchó en el símbolo PCAP.

Previamente se instaló Wireshark. Haciendo doble clic en la muestra pcap se abre directamente en Wireshark.

Aunque no podamos matricularnos en la Chappel University, existen muchos tutoriales  básicos de Wireshark; y hay que reconocer que es un software de aprendizaje muy agradecido.

En la imagen se ha entrado al menu Resolved Adresses y ya tenemos "llamadas a casa".

Hay que señalar que los nodos zombies de una botnet tienen la necesidad de conectar con servidores C2 para recibir instrucciones y exfiltrar información.

Recordemos que el dramático ataque de Wannacry fue parado por  Marcus  Hutchins investigando las "llamadas a casa" del terrible malware.

 

Tirando algo más del hilo, descubrimos una trayectoria completa en un servidor ¿será realmente malicioso?...

 

...El análisis con VT no parece excesivamente revelador en ese sentido.

Será mejor introducir la URL en Any...

 ...Parece que si lo es. 

Recapitulando; hemos obtenido una IP/URL en el análisis básico de conexiones de Lokibot, con la herramienta Wireshark. Hemos entrado en dicho sitio web y topado con comportamientos maliciosos. Puede que allí se aloje uno de los muchos C2`s que controlan al bot o sea un lugar legítimo vulnerado para funcionar como proxy.

Laura tiene razón, el análisis forense de redes resulta apasionante.