SlideShare ist ein Scribd-Unternehmen logo

Network_Forensics_Analysis_Tool.pptx

Als PPTX, PDF herunterladen
M
ManlioSantonastaso

Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento. Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer. Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.

Technologie
1 von 49
Network Forensics Analysis Tools (NFATs) Santonastaso Manlio Prof: Raffaele Pizzolante A.A 2021/2022
TABLE OF CONTENTS Here you could describe the topic of the section Introduzione 01 Here you could describe the topic of the section NetworkMiner Tool 02 Here you could describe the topic of the section Colasoft Copsa Tool 03 Here you could describe the topic of the section E-Detective Tool 04
INTRODUCTION
Abstract • Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento • Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento. • Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer. • Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Introduzione • Network Forensics Analysis Tools (NFATs) aiutano gli amministratori a monitorare il proprio ambiente alla ricerca di traffico anomalo, e aiutano un’organizzazione a ottenere informazioni approfondite sul proprio ambiente. • Network forensics analysis può essere eseguita in due modi • Catch it as you can: prevede la registrazioni di tutto il traffico di rete per l’analisi • Stop, look and listen: prevede l’analisi di ogni pacchetto di dati che viaggia attraverso la rete e la raccolta solo di ciò che è ritenuto sospetto.
Introduzione • Network Forensics Analysis Tools (NFATs) offrono diverse funzionalità che facilitano ulteriormente l’analisi forense della rete, come: • Ricostruzione di eventi: riproducendo il traffico di rete all’interno dello strumento, da una singola sessione a tutte le sessioni durante un determinato periodo di tempo • Visualizzazione dei flussi di traffico e delle relazioni tra host. Alcuni strumenti possono persino collegare indirizzi IP, nomi di dominio o altri dati a posizioni fisiche e produrre una mappa geografica dell’attività • Costruire profili di attività tipica e identificare deviazioni significative • Ricerca nel contenuto dell’applicazione per parole chiave.
Obiettivi • Fornire tool meno conosciuti, rispetto a quelli standard (Xplico, Wireshark, tcpdump). • Dare costrutti di basi per poter utilizzare gli strumenti descritti nel corso della presentazione. • Tool disponibili per Windows come Colasoft Copsa. • Come rilevare malware e worm in generale utilizzando i tool NetworkMiner e Colasoft Copsa.
NetworkMiner Tools
NetworkMiner • Network Miner : è uno strumento di analisi forense sulla rete per Windows. • Sniffer Passivo: per individuare OS, porte aperte e nomi host ecc. • Analizzare File di PCAP in modalità offline • Rigenerare/riassemblare file e certificati trasmessisi dai file PCAP • È diventato uno strumento popolare tra i team incident response e forze dell’ordine e oggi utilizzato da aziende e organizzazioni in tutto il mondo • Semplifica l’esecuzione dell’analisi del traffico di rete avanzata fornendo artefatti estratti in un’interfaccia utente intuitiva. Il modo in cui i dati sono presentati non solo semplifica l’analisi, ma fa anche risparmiare tempo prezioso all’analista o all’investigatore forense. • Ed è possibile scaricare dalla seguente link la versione 2.7.3.0 free di NetworkMiner: https://www.netresec.com/?page=NetworkMiner
Zyklon Malware Network Forensics • Un primo esempio di utilizzo per il tool NetworkMiner è analizzare il file PCAP contenente traffico di rete dal malware «Zyklon HTTP» • Zyklon Malware è un ceppo di malware emerso per la prima volta nel 2016 prima di diventare in gran parte inattivo fino a gennaio 2017 • Diffuso principalmente attraverso email di spam che includono un file ZIP allegato con un file DOC che contiene il codice per scaricare e installare il malware • Sfrutta una vulnerabilità in Microsoft Office (CVE-2017-11882) • Una volta infettata la macchina può causare diversi danni (keylogging, mining, bot etc.) • Il file PCAP utilizzato è disponibile al seguente link https://www.malware-traffic-analysis.net/2017/07/22/index.html • Password per estrarre il file è: infected
Zyklon Malware Network Forensics (1) 1. Carica il file pcap cliccando su «file» 2. Clicca su «Open» 3. Scegliere il file pcap scaricato 4. File pcap caricato
Zyklon Malware Network Forensics (3)
Zyklon Malware Network Forensics (4) • Host: macchine/pc rilevate all’interno del file pcap (316)
Zyklon Malware Network Forensics (5) • Files: File rilevati all’interno del file pcap (Word, PowerPoint, gif, text e etc. ) • Possibile aprire il file cliccando su «Open file» • Contenuto del file ncsi[2].txt
Zyklon Malware Network Forensics (6) • Images: Immagini raccolte all’interno del pcap (111)
Zyklon Malware Network Forensics (7) • Credentials: le credenziali dell’utente come nomi utente, password e hash rilevati da NetworkMiner • I protocolli e le strutture dati da cui Network Miner può estrarre le credenziali includono FTP , cookie HTTP, richieste HTTP Post, IMAP e MySQL
Zyklon Malware Network Forensics (8) • Analizziamo il file pcap alla ricerca del malware Zyklon • L’indirizzo IP vittima è solitamente chi esegue le richieste HTTP/S e chi ha il maggior numero di pacchetti ricevuti o inviati • Impostiamo il filtro in maniera tale gli host vengono messi in ordine decrescente di invio di pacchetti
Zyklon Malware Network Forensics (9) • Analizzando l’host con il maggior numero di invii si ha una concentrazione maggiore sul host con l’ip 172.16.45.98, perché accede a un servizio sospetto (service.tellepizza.com), mentre tutti gli altri utilizzano servizi conosciuti come bing, akamai e msedge e etc.
Zyklon Malware Network Forensics (10) • Aprendo il file gate.php si scopre una chiave pubblica RSA sottoforma di certificato x509 codificato utilizzato base64
Zyklon Malware Network Forensics (11) • Si prende la prima riga della chiave pubblica RSA e si effettua una ricerca su google. • Appartiene proprio al malware «zyklon» (https://www.netscout.com/sites/default/files/asert- blog/uploads/2017/05/zyklon_season.pdf)
Zyklon Malware – C&C Communications(12) • Il bot Zyklon avvia il processo inviando una richiesta HTTP al suo URL Command and Control • Il campo POST è la seguente stringa • Bot Zyklon imposta l’User-Agent scelto da un elenco di 201 possibili user agent • Alla ricezione di questa richiesta, Zyklon C&C risponderà con una chiave pubblica come si è visto in precedenza.
Colasoft Capsa Tools
Colasoft Capsa Tool • Colasoft Capsa è un network analyzer per LAN e WLAN che consente di: • Catturare pacchetti in tempo reale • Analizzare i protocolli avanzati • Decodificare i pacchetti in modo approfondito • Diagnosticare automaticamente i problemi • Colasoft Capsa, grazie all’interfaccia semplice e al motore di acquisizione e analisi dei pacchetti di dati, è uno strumento indispensabile per il monitoraggio della rete e consente agli amministratori di risolvere i problemi rapidamente. • Scarica al seguente link versione 11.1 Free Network Analyzer: https://www.colasoft.com/capsa/ • Pcap analizzato: https://github.com/odedshimon/BruteShark/blob/master/Pcap_Examples/HTTP%20- %20Basic%20Authentication.pcap
Colasoft Capsa Tool (1) • Per caricare il pcap bisogna andare su «file» -> Add -> selezionare il file pcap -> cliccare ok
Colasoft Capsa Tool (2)
Colasoft Capsa Tool (3) - Summary • Summary: fornisce statistiche generali sul nodo selezionato • Esempio: selezionando il nodo in figura è possibile ottenere il numero di pacchetti inviati e ricevuti, la quantità di byte totale dei pacchetti e la media di velocità che sono inviati.
Colasoft Capsa Tool (4) - Diagnosis • Diagnosis: presenta gli eventi di diagnosi in tempo reale della rete globale per gruppi di livelli di protocollo o livelli di sicurezza • Esempio: Capsa riesce a percepire se si sono verificati problemi concreti sulla rete nel nostro caso riesce a percepire 12 problemi al livello di trasporto e 4 a livello di applicazioni
Colasoft Capsa Tool (5) - Protocol • Protocol: mostra i protocolli registrati utilizzati nella transazioni di rete. • Se si seleziona il protocollo è possibile vedere i dettagli del pacchetto e della conversazione (facendo doppio click sul protocollo)
Colasoft Capsa Tool (6) – IP Endpoint • IP Endpoint: visualizza le statistiche di tutti gli indirizzi IP che comunicano nella rete • Si può scoprire facilmente i nodi (IP) con volumi di traffico più grandi e più piccoli, IP broadcast o Multicast
Colasoft Capsa Tool (7) – IP Conversation • IP Conversation: presenta dinamicamente lo stato in tempo reale delle conversazioni IP tra due nodi • Il riquadro inferiore nella parte inferiore di questa scheda offre la relativa conversazione TCP e UDP che aiuta ad approfondire la conversazione
Colasoft Capsa Tool (8) – Altre sezioni • Conversation TCP: presenta dinamicamente lo stato in tempo reale della conversazioni TCP tra due nodi • Conversation UDP: presenta dinamicamente lo stato in tempo reale delle conversazioni UDP tra due nodi • Matrix: presenta graficamente i nodi che comunicano in rete collegandolo con linee. Il peso di linea indica il volume di traffico tra i nodi disposti in un ellisse estesa. • Pacchetto: possibilità di scegliere tre parti: Decodifica Summary, decodifica campo e decodifica esadecimale/ASCII/EBCDIC • Log: fornisce 27 report statistici della rete globale a un nodo specifico
Colasoft Capsa Tool (9) – SQL Slammer • SQL Slammer: è un worm che causa un denial of service su alcuni host e rallenta notevolmente il traffico internet • il programma sfrutta un bug di overflow nei prodotti di database Microsoft SQL Server e Desktop Engine, fortunatamente Microsoft ha rilasciato una patch (https://docs.microsoft.com/en-us/security- updates/securitybulletins/2002/ms02-039) • Il worm consiste nel generare indirizzi IP casuali e inviare il worm a quegli indirizzi. Se questo indirizzo ha un servizio di risoluzione SQL aperto sulla porta UDP 1434, l’host viene infettato e iniziare ad inviare altre copie di worm sulla rete. • Come rilevarlo con Colasoft Capsa ?
Colasoft Capsa Tool (10) – Rilevare SQL Slammer • Andando nella sezione IP Endpoint • Filtriamo per vedere quali indirizzi IP hanno il traffico più grande • L’indirizzo 192.168.1.94 invia più di 18 mila pacchetti e non riceve nessuno.
Colasoft Capsa Tool (11) – Rilevare SQL Slammer • Andando nella sezione Protocol (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere quali protocolli sta utilizzando il nodo per inviare e ricevere pacchetti • L’indirizzo 192.168.1.94 utilizza solamente il protocollo UDP.
Colasoft Capsa Tool (12) – Rilevare SQL Slammer • Andando nella sezione UDP Conversation (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere con quali indirizzi IP sta comunicando • L’indirizzo 192.168.1.94 invia i pacchetti alla destinazione sulla porta 1434, tutti della stessa dimensione 422 e non riceve nessuna riposta.
Colasoft Copsa Tool (13) – Rilevare SQL Slammer • Andando nella sezione Packets (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere il contenuto di questi pacchetti UDP • Il tempo assoluto dell’invio del pacchetto è molto veloce • Utilizza il protocollo UDP e hanno la stessa dimensione 422 Byte • All’interno di ogni pacchetto si ha lo stesso contenuto (riportato in figura)
Colasoft Copsa Tool (14) – Rilevare SQL Slammer • Andando nella sezione matrix (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere una vista grafico della comunicazione di questo indirizzo IP • Come è possibile vedere dalla linea le comunicazioni sono unidirezionali • In conclusione si può dire che l’indirizzo 192.168.1.94 è infetto dal worm SQL Slammer e sta cercando di infettare altri server/host.
E-Detective Tools
E-Detective • E-Detective: è un sistema di intercettazione Internet, monitoraggio e analisi forense in tempo reale che cattura, decodifica e ricostruisce vari tipi di traffico Internet • È in grado di decodificare, riassemblare e ricostruire varie applicazioni e servizi internet come: • Email (POP3, IMAP e SMTP) • Webmail (Yahoo mail , Windows live Hotmail, Gmail) • Instant Messaging(Yahoo, MSN, ICQ, Google talk) • Viene usato principalmente per intercettazione legale da parte delle forze dell’ordine, intelligence militare, agenzia sicurezza informatica ecc.
E-Detective(1)- implementazione del sistema • E-Detective: utilizza la tecnologia sniffer per acquisire pacchetti Internet di rete tramite uno switch in grado di eseguire il mirroring delle porte • Quindi analizza (decodifica e ricostruisce) i pacchetti di dati grezzi acquisiti, li memorizza nel database del sistema e visualizza i dati ricostruiti con report in formato originale e leggibile nella GUI Web
E-Detective(2)- Accesso al sistema remoto • Utilizzare il browser Web Internet Explorer (IE) per accedere al sito di gestione Web del sistema E-Detective . Il sistema E-Detective utilizza la porta 443 per un accesso web sicuro. Ricorda di digitare https://xxxx , ad esempio https://192.168.1.60 (che è il login predefinito). • Nome utente: root e password 000000
E-Detective(3)- Homepage • La barra delle icone di navigazione si trova nella parte superiore della GUI di Gestione Web. La homepage di E- Detective fornisce informazioni sul rapporto statistico sulla produttività totale (come mostrato nel diagramma seguente) con funzionalità Top-Down e Drilled-Down
E-Detective(4)- Barra delle icone
E-Detective(5)- Sample: Email
E-Detective(6)- Sample: Webmail
E-Detective(7)- HTTP Video Streaming
E-Detective(8)- FTP Upload/Download
Xplico – Problemi • Dopo aver scaricato xplico col il comando apt-get install xplico • Avviamo xplico • Visitiamo la pagina http://localhost:9876/ • Pagina bianca
Riferimenti • https://www.netresec.com/?page=NetworkMiner • https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/zyklon-http-botnet/ • https://www.colasoft.com/download/capsa-ent-manual.pdf • https://www.edecision4u.com/data/DG-Product.Solutions.All.2012.pdf

Empfohlen

Traffic Shaping Su Linux
Traffic Shaping Su LinuxTraffic Shaping Su Linux
Traffic Shaping Su LinuxMajong DevJfu
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Bello Jxta Intro
Bello Jxta IntroBello Jxta Intro
Bello Jxta IntroEmmanuele Bello
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNMatteo D'Amore
 
Slide Bit Torrent
Slide Bit TorrentSlide Bit Torrent
Slide Bit TorrentAndrea Carrer
 

Empfohlen

Traffic Shaping Su Linux
Traffic Shaping Su LinuxTraffic Shaping Su Linux
Traffic Shaping Su LinuxMajong DevJfu
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Bello Jxta Intro
Bello Jxta IntroBello Jxta Intro
Bello Jxta IntroEmmanuele Bello
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11b(in)Sicurezze delle reti wireless 802.11b
(in)Sicurezze delle reti wireless 802.11bAlfredo Morresi
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNMatteo D'Amore
 
Slide Bit Torrent
Slide Bit TorrentSlide Bit Torrent
Slide Bit TorrentAndrea Carrer
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Nat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneNat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
 
Erlug
ErlugErlug
ErlugLinuxaria.com
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Andrea Tosato
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiEmerasoft, solutions to collaborate
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
 
1 esercitazione - Internet
1 esercitazione - Internet 1 esercitazione - Internet
1 esercitazione - Internet Andrea Gorrini
 
Packet Sniffing
Packet SniffingPacket Sniffing
Packet SniffingMajong DevJfu
 
TCP IP
TCP IPTCP IP
TCP IPVincenzo Calabrò
 
Gnutella
GnutellaGnutella
Gnutellaguest2f1b99a
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerAlessandro Mascherin
 
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...Marcello Marino
 
03 - Introduzione a Internet II
03 - Introduzione a Internet II03 - Introduzione a Internet II
03 - Introduzione a Internet IIGiuseppe Vizzari
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana LegalitàFabio Mora
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
L'aspetto sociale del p2p
L'aspetto sociale del p2pL'aspetto sociale del p2p
L'aspetto sociale del p2pFrancesco Panaro
 

Weitere ähnliche Inhalte

Ähnlich wie Network_Forensics_Analysis_Tool.pptx

Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceNaLUG
 
Nat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneNat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneGiuliano Latini
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Andrea Tosato
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90mstrom62
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
 
1 esercitazione - Internet
1 esercitazione - Internet 1 esercitazione - Internet
1 esercitazione - Internet Andrea Gorrini
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerAlessandro Mascherin
 
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...Marcello Marino
 
03 - Introduzione a Internet II
03 - Introduzione a Internet II03 - Introduzione a Internet II
03 - Introduzione a Internet IIGiuseppe Vizzari
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana LegalitàFabio Mora
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 

Ähnlich wie Network_Forensics_Analysis_Tool.pptx (20)

Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Nat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazioneNat come esporre servizi https senza esporre l'applicazione
Nat come esporre servizi https senza esporre l'applicazione
 
Erlug
ErlugErlug
Erlug
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018
 
Italian deft 7 manual 90
Italian deft 7 manual 90Italian deft 7 manual 90
Italian deft 7 manual 90
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
 
1 esercitazione - Internet
1 esercitazione - Internet 1 esercitazione - Internet
1 esercitazione - Internet
 
Packet Sniffing
Packet SniffingPacket Sniffing
Packet Sniffing
 
TCP IP
TCP IPTCP IP
TCP IP
 
Gnutella
GnutellaGnutella
Gnutella
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 
Progettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computerProgettazione e sviluppo di un software applicativo su un single board computer
Progettazione e sviluppo di un software applicativo su un single board computer
 
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
 
03 - Introduzione a Internet II
03 - Introduzione a Internet II03 - Introduzione a Internet II
03 - Introduzione a Internet II
 
2009 - Quotidiana Legalità
2009 - Quotidiana Legalità2009 - Quotidiana Legalità
2009 - Quotidiana Legalità
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information Gathering
 
L'aspetto sociale del p2p
L'aspetto sociale del p2pL'aspetto sociale del p2p
L'aspetto sociale del p2p
 

Network_Forensics_Analysis_Tool.pptx

  • 2. TABLE OF CONTENTS Here you could describe the topic of the section Introduzione 01 Here you could describe the topic of the section NetworkMiner Tool 02 Here you could describe the topic of the section Colasoft Copsa Tool 03 Here you could describe the topic of the section E-Detective Tool 04
  • 4. Abstract • Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento • Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento. • Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer. • Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
  • 5. Introduzione • Network Forensics Analysis Tools (NFATs) aiutano gli amministratori a monitorare il proprio ambiente alla ricerca di traffico anomalo, e aiutano un’organizzazione a ottenere informazioni approfondite sul proprio ambiente. • Network forensics analysis può essere eseguita in due modi • Catch it as you can: prevede la registrazioni di tutto il traffico di rete per l’analisi • Stop, look and listen: prevede l’analisi di ogni pacchetto di dati che viaggia attraverso la rete e la raccolta solo di ciò che è ritenuto sospetto.
  • 6. Introduzione • Network Forensics Analysis Tools (NFATs) offrono diverse funzionalità che facilitano ulteriormente l’analisi forense della rete, come: • Ricostruzione di eventi: riproducendo il traffico di rete all’interno dello strumento, da una singola sessione a tutte le sessioni durante un determinato periodo di tempo • Visualizzazione dei flussi di traffico e delle relazioni tra host. Alcuni strumenti possono persino collegare indirizzi IP, nomi di dominio o altri dati a posizioni fisiche e produrre una mappa geografica dell’attività • Costruire profili di attività tipica e identificare deviazioni significative • Ricerca nel contenuto dell’applicazione per parole chiave.
  • 7. Obiettivi • Fornire tool meno conosciuti, rispetto a quelli standard (Xplico, Wireshark, tcpdump). • Dare costrutti di basi per poter utilizzare gli strumenti descritti nel corso della presentazione. • Tool disponibili per Windows come Colasoft Copsa. • Come rilevare malware e worm in generale utilizzando i tool NetworkMiner e Colasoft Copsa.
  • 9. NetworkMiner • Network Miner : è uno strumento di analisi forense sulla rete per Windows. • Sniffer Passivo: per individuare OS, porte aperte e nomi host ecc. • Analizzare File di PCAP in modalità offline • Rigenerare/riassemblare file e certificati trasmessisi dai file PCAP • È diventato uno strumento popolare tra i team incident response e forze dell’ordine e oggi utilizzato da aziende e organizzazioni in tutto il mondo • Semplifica l’esecuzione dell’analisi del traffico di rete avanzata fornendo artefatti estratti in un’interfaccia utente intuitiva. Il modo in cui i dati sono presentati non solo semplifica l’analisi, ma fa anche risparmiare tempo prezioso all’analista o all’investigatore forense. • Ed è possibile scaricare dalla seguente link la versione 2.7.3.0 free di NetworkMiner: https://www.netresec.com/?page=NetworkMiner
  • 10. Zyklon Malware Network Forensics • Un primo esempio di utilizzo per il tool NetworkMiner è analizzare il file PCAP contenente traffico di rete dal malware «Zyklon HTTP» • Zyklon Malware è un ceppo di malware emerso per la prima volta nel 2016 prima di diventare in gran parte inattivo fino a gennaio 2017 • Diffuso principalmente attraverso email di spam che includono un file ZIP allegato con un file DOC che contiene il codice per scaricare e installare il malware • Sfrutta una vulnerabilità in Microsoft Office (CVE-2017-11882) • Una volta infettata la macchina può causare diversi danni (keylogging, mining, bot etc.) • Il file PCAP utilizzato è disponibile al seguente link https://www.malware-traffic-analysis.net/2017/07/22/index.html • Password per estrarre il file è: infected
  • 11. Zyklon Malware Network Forensics (1) 1. Carica il file pcap cliccando su «file» 2. Clicca su «Open» 3. Scegliere il file pcap scaricato 4. File pcap caricato
  • 12. Zyklon Malware Network Forensics (3)
  • 13. Zyklon Malware Network Forensics (4) • Host: macchine/pc rilevate all’interno del file pcap (316)
  • 14. Zyklon Malware Network Forensics (5) • Files: File rilevati all’interno del file pcap (Word, PowerPoint, gif, text e etc. ) • Possibile aprire il file cliccando su «Open file» • Contenuto del file ncsi[2].txt
  • 15. Zyklon Malware Network Forensics (6) • Images: Immagini raccolte all’interno del pcap (111)
  • 16. Zyklon Malware Network Forensics (7) • Credentials: le credenziali dell’utente come nomi utente, password e hash rilevati da NetworkMiner • I protocolli e le strutture dati da cui Network Miner può estrarre le credenziali includono FTP , cookie HTTP, richieste HTTP Post, IMAP e MySQL
  • 17. Zyklon Malware Network Forensics (8) • Analizziamo il file pcap alla ricerca del malware Zyklon • L’indirizzo IP vittima è solitamente chi esegue le richieste HTTP/S e chi ha il maggior numero di pacchetti ricevuti o inviati • Impostiamo il filtro in maniera tale gli host vengono messi in ordine decrescente di invio di pacchetti
  • 18. Zyklon Malware Network Forensics (9) • Analizzando l’host con il maggior numero di invii si ha una concentrazione maggiore sul host con l’ip 172.16.45.98, perché accede a un servizio sospetto (service.tellepizza.com), mentre tutti gli altri utilizzano servizi conosciuti come bing, akamai e msedge e etc.
  • 19. Zyklon Malware Network Forensics (10) • Aprendo il file gate.php si scopre una chiave pubblica RSA sottoforma di certificato x509 codificato utilizzato base64
  • 20. Zyklon Malware Network Forensics (11) • Si prende la prima riga della chiave pubblica RSA e si effettua una ricerca su google. • Appartiene proprio al malware «zyklon» (https://www.netscout.com/sites/default/files/asert- blog/uploads/2017/05/zyklon_season.pdf)
  • 21. Zyklon Malware – C&C Communications(12) • Il bot Zyklon avvia il processo inviando una richiesta HTTP al suo URL Command and Control • Il campo POST è la seguente stringa • Bot Zyklon imposta l’User-Agent scelto da un elenco di 201 possibili user agent • Alla ricezione di questa richiesta, Zyklon C&C risponderà con una chiave pubblica come si è visto in precedenza.
  • 23. Colasoft Capsa Tool • Colasoft Capsa è un network analyzer per LAN e WLAN che consente di: • Catturare pacchetti in tempo reale • Analizzare i protocolli avanzati • Decodificare i pacchetti in modo approfondito • Diagnosticare automaticamente i problemi • Colasoft Capsa, grazie all’interfaccia semplice e al motore di acquisizione e analisi dei pacchetti di dati, è uno strumento indispensabile per il monitoraggio della rete e consente agli amministratori di risolvere i problemi rapidamente. • Scarica al seguente link versione 11.1 Free Network Analyzer: https://www.colasoft.com/capsa/ • Pcap analizzato: https://github.com/odedshimon/BruteShark/blob/master/Pcap_Examples/HTTP%20- %20Basic%20Authentication.pcap
  • 24. Colasoft Capsa Tool (1) • Per caricare il pcap bisogna andare su «file» -> Add -> selezionare il file pcap -> cliccare ok
  • 26. Colasoft Capsa Tool (3) - Summary • Summary: fornisce statistiche generali sul nodo selezionato • Esempio: selezionando il nodo in figura è possibile ottenere il numero di pacchetti inviati e ricevuti, la quantità di byte totale dei pacchetti e la media di velocità che sono inviati.
  • 27. Colasoft Capsa Tool (4) - Diagnosis • Diagnosis: presenta gli eventi di diagnosi in tempo reale della rete globale per gruppi di livelli di protocollo o livelli di sicurezza • Esempio: Capsa riesce a percepire se si sono verificati problemi concreti sulla rete nel nostro caso riesce a percepire 12 problemi al livello di trasporto e 4 a livello di applicazioni
  • 28. Colasoft Capsa Tool (5) - Protocol • Protocol: mostra i protocolli registrati utilizzati nella transazioni di rete. • Se si seleziona il protocollo è possibile vedere i dettagli del pacchetto e della conversazione (facendo doppio click sul protocollo)
  • 29. Colasoft Capsa Tool (6) – IP Endpoint • IP Endpoint: visualizza le statistiche di tutti gli indirizzi IP che comunicano nella rete • Si può scoprire facilmente i nodi (IP) con volumi di traffico più grandi e più piccoli, IP broadcast o Multicast
  • 30. Colasoft Capsa Tool (7) – IP Conversation • IP Conversation: presenta dinamicamente lo stato in tempo reale delle conversazioni IP tra due nodi • Il riquadro inferiore nella parte inferiore di questa scheda offre la relativa conversazione TCP e UDP che aiuta ad approfondire la conversazione
  • 31. Colasoft Capsa Tool (8) – Altre sezioni • Conversation TCP: presenta dinamicamente lo stato in tempo reale della conversazioni TCP tra due nodi • Conversation UDP: presenta dinamicamente lo stato in tempo reale delle conversazioni UDP tra due nodi • Matrix: presenta graficamente i nodi che comunicano in rete collegandolo con linee. Il peso di linea indica il volume di traffico tra i nodi disposti in un ellisse estesa. • Pacchetto: possibilità di scegliere tre parti: Decodifica Summary, decodifica campo e decodifica esadecimale/ASCII/EBCDIC • Log: fornisce 27 report statistici della rete globale a un nodo specifico
  • 32. Colasoft Capsa Tool (9) – SQL Slammer • SQL Slammer: è un worm che causa un denial of service su alcuni host e rallenta notevolmente il traffico internet • il programma sfrutta un bug di overflow nei prodotti di database Microsoft SQL Server e Desktop Engine, fortunatamente Microsoft ha rilasciato una patch (https://docs.microsoft.com/en-us/security- updates/securitybulletins/2002/ms02-039) • Il worm consiste nel generare indirizzi IP casuali e inviare il worm a quegli indirizzi. Se questo indirizzo ha un servizio di risoluzione SQL aperto sulla porta UDP 1434, l’host viene infettato e iniziare ad inviare altre copie di worm sulla rete. • Come rilevarlo con Colasoft Capsa ?
  • 33. Colasoft Capsa Tool (10) – Rilevare SQL Slammer • Andando nella sezione IP Endpoint • Filtriamo per vedere quali indirizzi IP hanno il traffico più grande • L’indirizzo 192.168.1.94 invia più di 18 mila pacchetti e non riceve nessuno.
  • 34. Colasoft Capsa Tool (11) – Rilevare SQL Slammer • Andando nella sezione Protocol (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere quali protocolli sta utilizzando il nodo per inviare e ricevere pacchetti • L’indirizzo 192.168.1.94 utilizza solamente il protocollo UDP.
  • 35. Colasoft Capsa Tool (12) – Rilevare SQL Slammer • Andando nella sezione UDP Conversation (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere con quali indirizzi IP sta comunicando • L’indirizzo 192.168.1.94 invia i pacchetti alla destinazione sulla porta 1434, tutti della stessa dimensione 422 e non riceve nessuna riposta.
  • 36. Colasoft Copsa Tool (13) – Rilevare SQL Slammer • Andando nella sezione Packets (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere il contenuto di questi pacchetti UDP • Il tempo assoluto dell’invio del pacchetto è molto veloce • Utilizza il protocollo UDP e hanno la stessa dimensione 422 Byte • All’interno di ogni pacchetto si ha lo stesso contenuto (riportato in figura)
  • 37. Colasoft Copsa Tool (14) – Rilevare SQL Slammer • Andando nella sezione matrix (Selezionando solo l’indirizzo IP rilevato in precedenza) • Per vedere una vista grafico della comunicazione di questo indirizzo IP • Come è possibile vedere dalla linea le comunicazioni sono unidirezionali • In conclusione si può dire che l’indirizzo 192.168.1.94 è infetto dal worm SQL Slammer e sta cercando di infettare altri server/host.
  • 39. E-Detective • E-Detective: è un sistema di intercettazione Internet, monitoraggio e analisi forense in tempo reale che cattura, decodifica e ricostruisce vari tipi di traffico Internet • È in grado di decodificare, riassemblare e ricostruire varie applicazioni e servizi internet come: • Email (POP3, IMAP e SMTP) • Webmail (Yahoo mail , Windows live Hotmail, Gmail) • Instant Messaging(Yahoo, MSN, ICQ, Google talk) • Viene usato principalmente per intercettazione legale da parte delle forze dell’ordine, intelligence militare, agenzia sicurezza informatica ecc.
  • 40. E-Detective(1)- implementazione del sistema • E-Detective: utilizza la tecnologia sniffer per acquisire pacchetti Internet di rete tramite uno switch in grado di eseguire il mirroring delle porte • Quindi analizza (decodifica e ricostruisce) i pacchetti di dati grezzi acquisiti, li memorizza nel database del sistema e visualizza i dati ricostruiti con report in formato originale e leggibile nella GUI Web
  • 41. E-Detective(2)- Accesso al sistema remoto • Utilizzare il browser Web Internet Explorer (IE) per accedere al sito di gestione Web del sistema E-Detective . Il sistema E-Detective utilizza la porta 443 per un accesso web sicuro. Ricorda di digitare https://xxxx , ad esempio https://192.168.1.60 (che è il login predefinito). • Nome utente: root e password 000000
  • 42. E-Detective(3)- Homepage • La barra delle icone di navigazione si trova nella parte superiore della GUI di Gestione Web. La homepage di E- Detective fornisce informazioni sul rapporto statistico sulla produttività totale (come mostrato nel diagramma seguente) con funzionalità Top-Down e Drilled-Down
  • 48. Xplico – Problemi • Dopo aver scaricato xplico col il comando apt-get install xplico • Avviamo xplico • Visitiamo la pagina http://localhost:9876/ • Pagina bianca
  • 49. Riferimenti • https://www.netresec.com/?page=NetworkMiner • https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/zyklon-http-botnet/ • https://www.colasoft.com/download/capsa-ent-manual.pdf • https://www.edecision4u.com/data/DG-Product.Solutions.All.2012.pdf

Hinweis der Redaktion

  1. i
  2. i
  3. i
  4. i
  5. i
  6. i
  7. i
  8. i
  9. i
  10. i
  11. i
  12. i
  13. i
  14. i
  15. i
  16. i
  17. i
  18. E-Detective può anche essere implementato su reti con un volume di traffico enorme come l'intercettazione di massa e l'intercettazione legale su reti Telco o ISP. Questa implementazione è normalmente per le forze dell'ordine (LEA) come le agenzie di sicurezza informatica, le agenzie di sicurezza nazionale, l'ufficio investigativo criminale, la polizia e l'intelligence militare.
  19. i
  20. i