Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
2. TABLE OF
CONTENTS
Here you could describe the
topic of the section
Introduzione
01
Here you could describe the
topic of the section
NetworkMiner Tool
02
Here you could describe the
topic of the section
Colasoft Copsa
Tool
03
Here you could describe the
topic of the section
E-Detective Tool
04
4. Abstract
• Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione
discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
• Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su
come rilevare un malware Zyklon utilizzando l’apposito strumento.
• Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il
traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come
rilevare il worm SQL Slammer.
• Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e
record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità
della GUI Web.
5. Introduzione
• Network Forensics Analysis Tools (NFATs) aiutano gli amministratori a monitorare il proprio ambiente alla ricerca
di traffico anomalo, e aiutano un’organizzazione a ottenere informazioni approfondite sul proprio ambiente.
• Network forensics analysis può essere eseguita in due modi
• Catch it as you can: prevede la registrazioni di tutto il traffico di rete per l’analisi
• Stop, look and listen: prevede l’analisi di ogni pacchetto di dati che viaggia attraverso la rete e la raccolta
solo di ciò che è ritenuto sospetto.
6. Introduzione
• Network Forensics Analysis Tools (NFATs) offrono diverse funzionalità che facilitano ulteriormente l’analisi forense
della rete, come:
• Ricostruzione di eventi: riproducendo il traffico di rete all’interno dello strumento, da una singola sessione a
tutte le sessioni durante un determinato periodo di tempo
• Visualizzazione dei flussi di traffico e delle relazioni tra host. Alcuni strumenti possono persino collegare
indirizzi IP, nomi di dominio o altri dati a posizioni fisiche e produrre una mappa geografica dell’attività
• Costruire profili di attività tipica e identificare deviazioni significative
• Ricerca nel contenuto dell’applicazione per parole chiave.
7. Obiettivi
• Fornire tool meno conosciuti, rispetto a quelli standard (Xplico, Wireshark, tcpdump).
• Dare costrutti di basi per poter utilizzare gli strumenti descritti nel corso della presentazione.
• Tool disponibili per Windows come Colasoft Copsa.
• Come rilevare malware e worm in generale utilizzando i tool NetworkMiner e Colasoft Copsa.
9. NetworkMiner
• Network Miner : è uno strumento di analisi forense sulla rete per Windows.
• Sniffer Passivo: per individuare OS, porte aperte e nomi host ecc.
• Analizzare File di PCAP in modalità offline
• Rigenerare/riassemblare file e certificati trasmessisi dai file PCAP
• È diventato uno strumento popolare tra i team incident response e forze dell’ordine e oggi utilizzato da aziende e
organizzazioni in tutto il mondo
• Semplifica l’esecuzione dell’analisi del traffico di rete avanzata fornendo artefatti estratti in un’interfaccia utente
intuitiva. Il modo in cui i dati sono presentati non solo semplifica l’analisi, ma fa anche risparmiare tempo prezioso
all’analista o all’investigatore forense.
• Ed è possibile scaricare dalla seguente link la versione 2.7.3.0 free di NetworkMiner:
https://www.netresec.com/?page=NetworkMiner
10. Zyklon Malware Network Forensics
• Un primo esempio di utilizzo per il tool NetworkMiner è analizzare il file PCAP contenente traffico di rete dal
malware «Zyklon HTTP»
• Zyklon Malware è un ceppo di malware emerso per la prima volta nel 2016 prima di diventare in gran parte inattivo
fino a gennaio 2017
• Diffuso principalmente attraverso email di spam che includono un file ZIP allegato con un file DOC che
contiene il codice per scaricare e installare il malware
• Sfrutta una vulnerabilità in Microsoft Office (CVE-2017-11882)
• Una volta infettata la macchina può causare diversi danni (keylogging, mining, bot etc.)
• Il file PCAP utilizzato è disponibile al seguente link https://www.malware-traffic-analysis.net/2017/07/22/index.html
• Password per estrarre il file è: infected
11. Zyklon Malware Network Forensics (1)
1. Carica il file pcap cliccando su «file»
2. Clicca su «Open»
3. Scegliere il file pcap scaricato
4. File pcap caricato
14. Zyklon Malware Network Forensics (5)
• Files: File rilevati all’interno del
file pcap (Word, PowerPoint, gif, text e etc. )
• Possibile aprire il file cliccando su «Open file»
• Contenuto del file ncsi[2].txt
16. Zyklon Malware Network Forensics (7)
• Credentials: le credenziali dell’utente
come nomi utente, password e hash rilevati
da NetworkMiner
• I protocolli e le strutture dati da cui Network
Miner può estrarre le credenziali includono FTP
, cookie HTTP, richieste HTTP Post, IMAP e
MySQL
17. Zyklon Malware Network Forensics (8)
• Analizziamo il file pcap alla ricerca del malware Zyklon
• L’indirizzo IP vittima è solitamente chi esegue le richieste HTTP/S e chi ha il maggior numero di pacchetti
ricevuti o inviati
• Impostiamo il filtro in maniera tale gli host vengono messi in ordine decrescente di invio di pacchetti
18. Zyklon Malware Network Forensics (9)
• Analizzando l’host con il maggior numero di invii si ha una concentrazione maggiore sul host con l’ip
172.16.45.98, perché accede a un servizio sospetto (service.tellepizza.com), mentre tutti gli altri utilizzano
servizi conosciuti come bing, akamai e msedge e etc.
19. Zyklon Malware Network Forensics (10)
• Aprendo il file gate.php si scopre una chiave pubblica RSA sottoforma di certificato x509 codificato utilizzato
base64
20. Zyklon Malware Network Forensics (11)
• Si prende la prima riga della chiave pubblica RSA e si effettua una ricerca su google.
• Appartiene proprio al malware «zyklon» (https://www.netscout.com/sites/default/files/asert-
blog/uploads/2017/05/zyklon_season.pdf)
21. Zyklon Malware – C&C Communications(12)
• Il bot Zyklon avvia il processo inviando una richiesta HTTP al suo URL Command and Control
• Il campo POST è la seguente stringa
• Bot Zyklon imposta l’User-Agent scelto da un elenco di 201 possibili user agent
• Alla ricezione di questa richiesta, Zyklon C&C risponderà con una chiave pubblica come si è visto in
precedenza.
23. Colasoft Capsa Tool
• Colasoft Capsa è un network analyzer per LAN e WLAN che consente di:
• Catturare pacchetti in tempo reale
• Analizzare i protocolli avanzati
• Decodificare i pacchetti in modo approfondito
• Diagnosticare automaticamente i problemi
• Colasoft Capsa, grazie all’interfaccia semplice e al motore di acquisizione e analisi dei pacchetti di dati, è uno
strumento indispensabile per il monitoraggio della rete e consente agli amministratori di risolvere i problemi
rapidamente.
• Scarica al seguente link versione 11.1 Free Network Analyzer: https://www.colasoft.com/capsa/
• Pcap analizzato: https://github.com/odedshimon/BruteShark/blob/master/Pcap_Examples/HTTP%20-
%20Basic%20Authentication.pcap
24. Colasoft Capsa Tool (1)
• Per caricare il pcap bisogna andare su «file» -> Add -> selezionare il file pcap -> cliccare ok
26. Colasoft Capsa Tool (3) - Summary
• Summary: fornisce statistiche generali sul nodo selezionato
• Esempio: selezionando il nodo in figura è possibile ottenere il numero di pacchetti inviati e
ricevuti, la quantità di byte totale dei pacchetti e la media di velocità che sono inviati.
27. Colasoft Capsa Tool (4) - Diagnosis
• Diagnosis: presenta gli eventi di diagnosi in tempo reale della rete globale per gruppi di livelli di protocollo o livelli
di sicurezza
• Esempio: Capsa riesce a percepire se si sono verificati problemi concreti sulla rete nel nostro caso riesce a
percepire 12 problemi al livello di trasporto e 4 a livello di applicazioni
28. Colasoft Capsa Tool (5) - Protocol
• Protocol: mostra i protocolli registrati utilizzati nella transazioni di rete.
• Se si seleziona il protocollo è possibile vedere i dettagli del pacchetto e della conversazione (facendo doppio click
sul protocollo)
29. Colasoft Capsa Tool (6) – IP Endpoint
• IP Endpoint: visualizza le statistiche di tutti gli indirizzi IP che comunicano nella rete
• Si può scoprire facilmente i nodi (IP) con volumi di traffico più grandi e più piccoli, IP broadcast o Multicast
30. Colasoft Capsa Tool (7) – IP Conversation
• IP Conversation: presenta dinamicamente lo stato in tempo reale delle conversazioni IP tra due nodi
• Il riquadro inferiore nella parte inferiore di questa scheda offre la relativa conversazione TCP e UDP che aiuta ad
approfondire la conversazione
31. Colasoft Capsa Tool (8) – Altre sezioni
• Conversation TCP: presenta dinamicamente lo stato in tempo reale della conversazioni TCP tra due nodi
• Conversation UDP: presenta dinamicamente lo stato in tempo reale delle conversazioni UDP tra due nodi
• Matrix: presenta graficamente i nodi che comunicano in rete collegandolo con linee. Il peso di linea indica il volume
di traffico tra i nodi disposti in un ellisse estesa.
• Pacchetto: possibilità di scegliere tre parti: Decodifica Summary, decodifica campo e decodifica
esadecimale/ASCII/EBCDIC
• Log: fornisce 27 report statistici della rete globale a un nodo specifico
32. Colasoft Capsa Tool (9) – SQL Slammer
• SQL Slammer: è un worm che causa un denial of service su alcuni host e rallenta notevolmente il traffico internet
• il programma sfrutta un bug di overflow nei prodotti di database Microsoft SQL Server e Desktop Engine,
fortunatamente Microsoft ha rilasciato una patch (https://docs.microsoft.com/en-us/security-
updates/securitybulletins/2002/ms02-039)
• Il worm consiste nel generare indirizzi IP casuali e inviare il worm a quegli indirizzi. Se questo indirizzo ha un
servizio di risoluzione SQL aperto sulla porta UDP 1434, l’host viene infettato e iniziare ad inviare altre copie di
worm sulla rete.
• Come rilevarlo con Colasoft Capsa ?
33. Colasoft Capsa Tool (10) – Rilevare SQL
Slammer
• Andando nella sezione IP Endpoint
• Filtriamo per vedere quali indirizzi IP hanno il traffico più grande
• L’indirizzo 192.168.1.94 invia più di 18 mila pacchetti e non riceve nessuno.
34. Colasoft Capsa Tool (11) – Rilevare SQL
Slammer
• Andando nella sezione Protocol (Selezionando solo l’indirizzo IP rilevato in precedenza)
• Per vedere quali protocolli sta utilizzando il nodo per inviare e ricevere pacchetti
• L’indirizzo 192.168.1.94 utilizza solamente il protocollo UDP.
35. Colasoft Capsa Tool (12) – Rilevare SQL
Slammer
• Andando nella sezione UDP Conversation (Selezionando solo l’indirizzo IP rilevato in precedenza)
• Per vedere con quali indirizzi IP sta comunicando
• L’indirizzo 192.168.1.94 invia i pacchetti alla destinazione sulla porta 1434, tutti della stessa dimensione 422 e non
riceve nessuna riposta.
36. Colasoft Copsa Tool (13) – Rilevare SQL
Slammer
• Andando nella sezione Packets (Selezionando solo l’indirizzo IP rilevato in precedenza)
• Per vedere il contenuto di questi pacchetti UDP
• Il tempo assoluto dell’invio del pacchetto è molto veloce
• Utilizza il protocollo UDP e hanno la stessa dimensione 422 Byte
• All’interno di ogni pacchetto si ha lo stesso contenuto (riportato
in figura)
37. Colasoft Copsa Tool (14) – Rilevare SQL
Slammer
• Andando nella sezione matrix (Selezionando solo l’indirizzo IP rilevato in precedenza)
• Per vedere una vista grafico della comunicazione di questo indirizzo IP
• Come è possibile vedere dalla linea le comunicazioni sono unidirezionali
• In conclusione si può dire che l’indirizzo 192.168.1.94 è infetto dal worm SQL Slammer e sta cercando di infettare
altri server/host.
39. E-Detective
• E-Detective: è un sistema di intercettazione Internet, monitoraggio e analisi forense in tempo reale che cattura,
decodifica e ricostruisce vari tipi di traffico Internet
• È in grado di decodificare, riassemblare e ricostruire varie applicazioni e servizi internet come:
• Email (POP3, IMAP e SMTP)
• Webmail (Yahoo mail , Windows live Hotmail, Gmail)
• Instant Messaging(Yahoo, MSN, ICQ, Google talk)
• Viene usato principalmente per intercettazione legale da parte delle forze dell’ordine, intelligence militare, agenzia
sicurezza informatica ecc.
40. E-Detective(1)- implementazione del
sistema
• E-Detective: utilizza la tecnologia sniffer per acquisire pacchetti Internet di rete tramite uno switch in grado di
eseguire il mirroring delle porte
• Quindi analizza (decodifica e ricostruisce) i pacchetti di dati grezzi acquisiti, li memorizza nel database del sistema
e visualizza i dati ricostruiti con report in formato originale e leggibile nella GUI Web
41. E-Detective(2)- Accesso al sistema remoto
• Utilizzare il browser Web Internet Explorer (IE) per accedere al sito di gestione Web del sistema E-Detective . Il
sistema E-Detective utilizza la porta 443 per un accesso web sicuro. Ricorda di digitare https://xxxx , ad esempio
https://192.168.1.60 (che è il login predefinito).
• Nome utente: root e password 000000
42. E-Detective(3)- Homepage
• La barra delle icone di navigazione si trova nella parte superiore della GUI di Gestione Web. La homepage di E-
Detective fornisce informazioni sul rapporto statistico sulla produttività totale (come mostrato nel diagramma
seguente) con funzionalità Top-Down e Drilled-Down
48. Xplico – Problemi
• Dopo aver scaricato xplico col il comando apt-get install xplico
• Avviamo xplico
• Visitiamo la pagina http://localhost:9876/
• Pagina bianca
E-Detective può anche essere implementato su reti con un volume di traffico enorme come l'intercettazione di massa e l'intercettazione legale su reti Telco o ISP. Questa implementazione è normalmente per le forze dell'ordine (LEA) come le agenzie di sicurezza informatica, le agenzie di sicurezza nazionale, l'ufficio investigativo criminale, la polizia e l'intelligence militare.