Hace poco me ha tocado sacar datos sobre unos mensajes enviados/recibidos en Instagram, concretamente determinar si ha existido un envío de un video de esos de duración “1 reproducción” o no.

Había poca o nada información en internet, así que me tuve que buscar la vida, y comparto hasta dónde he llegado.

La información está basada en la extracción de un iPhone. Ya sabemos que las sqlite de Android suelen tener otra estructura/datos/etc; pero como base para no ir demasiado desorientados, supongo que sirve.

Instagram (siempre hablando de OSX en este artículo), tiene un montón de bases de datos, la mayoría son bbdd de cada aplicación con la que interactúa. Pero las interesantes son únicamente dos, o tres, o siete….depende de cuantos usuarios hayan iniciado sesión en ese dispositivo, porque crea una sqlite por cada usuario con el nombre “<id>.sqlite”; y a parte crea una sqlite donde guarda información de las conexiones (esta no la he investigado mucho).

La estructura de la bbdd es la siguiente:

Tiene 8 tablas, si bien la única que he encontrado con contenido es la tabla “messages”, que contiene el chat de instagram, y la tabla “threads” que no he logrado encontrarla sentido, pero contiene mensajes igual que la anteior (quizás de multi-usuarios):

Los campos de la table “Messages”:

Como vemos, son pocos: Id del mensaje, id del hilo, archivo, clase y columna.

Nos centramos en los campos “Thread” y en “archive”.

Threads nos indica el canal de comunicación, como si fuera una sala de chat. Es interesante porque los mensajes guardan el id del usuario que los envía, pero no el id del usuario al que se envía. “Quicir”, que el mensaje enviado por el usuario del dispositivo contiene el id del propio usuario y el hilo al que se envía el mensaje, pero no contiene el id del receptor o receptores del mensaje.

Aquí es donde nos interesa tener en cuenta el thread (hilo) del mensaje enviado, porque los mensajes que nos encontremos con el mismo thread (hilo), pero distinto id de usuario, nos indicarán el/los usuarios que reciben el anterior mensaje.

Archive nos da toda la información del mensaje, demasiada información….

En este caso, el campo contiene un plist binario que hay que exportar con el nombre que corresponda y extensión plist. Abrirlo para su estudio con un editor plist o la herramienta que más os guste.

Algunas keys a tener en cuenta en el plist son el campo “NS.time”. En nuestro caso, el formato está en Apple Cocoa Core Data (segundos desde 01/01/2001).

Otro dato a tener en cuenta y que es localizable a través de la búsqueda en crudo en la bbdd, son varios strings:

El segundo no es habitual, creo que es el identificador del archivo multimedia que envía el usuario del dispotivio.

El primero es el id del mensaje.

El tercero es el número de hilo. Podemos con este número localizar todos los mensajes con la misma persona.

Y el cuarto es el id del usuario QUE ENVIA EL MENSAJE. Con esto, podemos localizar todos los mensajes recibidos de un usuario, tomar nota del hilo o id_mensaje, y extraer el plist.

La key “NSString*senderPk”, en su campo “CF$UID”, cuando el entero es “8”, el mensaje es enviado por el usuario; cuando el entero es “7”, se trata de un mensaje recibido.

Otros “strings” contienen información sobre su contenido o tipo de mensaje, algunos de los que he extraído son:

• SUBTYPE_VISUAL_MEDIA
• SUBTYPE_VIDEO
• SUBTYPE_TEXT
• SUBTYPE_PHOTO
• SUBTYPE_STORY
• SUBTYPE_POST

También son localizables a través de búsquedas en crudo, para conocer por ejemplo cuantos mensajes que contienen fotografías o videos se han enviado/recibido, cuantas historias se han compartido, etc.

En cada uno de los mensajes hay bastante información, links a fotografías de perfiles, links a historias, etc. El único que no tiene links es el SUBTYPE_TEXT, evidentemente.

Sí he encontrado un campo en el SUBTYPE_VIDEO que indicaba cuantas veces se reproducía. No he hecho pruebas, pero quizás identifique los videos de una sola reproducción.

Y para terminar:

La forma a día de hoy de identificar los perfiles de Instagram a través de su id numérica.

Para obtener el id numérico usar la url: https://www.instagram.com/<nick>/?__a=1 , el id está en “profilePage_”

Para obtener el nicky de un id, usar la url: https://i.instagram.com/api/v1/users/<id numerico>/info/

Espero que os sirva y que podáis avanzar más, y sobre todo compartir…….

—-

Un artículo de:

Norberto González.

(@Nicky69es),  Analista de computación digital en telecomunicaciones. Trabajando para las FFCCSE

En esta ocasión trabajaremos con el forma Json / ek Json, que usado conjuntamente con Jq, resultará muy eficiente.

Al lio …

¿ Qué es Jq ?. Json.

https://stedolan.github.io/jq/

Según nuestra amiga la Wikipedia:

jq es un lenguaje funcional de muy alto nivel con soporte para backtracking y gestión de flujos de datos JSON. Está relacionado con los lenguajes de programación Icon y Haskell.

El lenguaje jq está basado en los conceptos de flujos, tuberías y filtros familiares a los del Shell de Unix. Los filtros se pueden construir a partir de expresiones de JSON utilizando una sintaxis similar a la de JSON y se conectan con el caràcter «|«. El filtro identidad es «.«, y por ejemplo la expresión 1 | {"a": .} producirá el valor de JSON : {"a": 1}.

Bueno, es mucha más que eso, bastante más. Daría para un libro y no es el objetivo de este artículo, pero ya sabemos, por encima, que es lo que hace y más que aprenderemos con su uso.

También lo tenemos para Windows, por lo que podemos usarlo también en este sistema operativo.

Bien, ya sabemos algo sobre Jq, y además sabemos también que soporta flujos de datos json. Pero ¿ qué es eso de Json ?:

«JSON, acrónimo de JavaScript Object Notation, es un formato de texto ligero para el intercambio de datos. JSON es un subconjunto de la notación literal de objetos de JavaScript aunque hoy, debido a su amplia adopción como alternativa a XML, se considera un formato de lenguaje independiente.»

¿ No queda claro ?. Bien, lo vemos con un ejemplo. Una estructura de datos json, puede tener esta forma:

{«tecnico»: {«nombre»: «Fran»,»lugar»: «Suricata»},»admin»: {«nombre»: «David»,»lugar»: «Monte»},»sysadm»: {«nombre»: «Paco»,»lugar»: «Impresoras»},»invest»: {«nombre»: «JoseL»,»lugar»: «Suricata»},»Oracle»: {«nombre»: «Carlitos»,»lugar»: «Synologic»}}

Todo en una misma línea. Una estructura similar es usada por Suricata IDS, Bro IDS, Tshark, Capptiper, ipinfo, y mil etcéteras más. Este ejemplo es un ejemplo muy sencillo con poco volumen de datos. Pero no es lo normal, un log en json de Suricata puede tener decenas de miles de «registros». Para gestionar, filtrar, parsear tanta cantidad de información tenemos jq.

Si seguimos con el ejemplo que lo tenemos en un archivo ejemplo.txt y usamos jq de la forma más básica:

Ya tiene otro aspecto. Mucho más atractivo además. Pero jq es mucho más que esto. Es casi un lenguaje de programación. Vamos, con ejemplos, viendo como podemos ir sacando información de esta estructura de datos.

Vamos a ver solo los nombres, independientemente de que sean técnicos, administrativos o lo que sea:

Ahora vemos los que tienen como Lugar a Suricata:

cat ejemplo.txt | jq ".[] | select(.lugar==\"Suricata\")"

Esto, de forma muy básica y a grandes rasgos es jq/json. Es mucho más, pero lo veremos con la herramienta con la que vamos a usarlo.. Tshark.

Tshark y los formatos de salida Json.

Tshark, ya lo hemos visto en otros artículos, tiene diferentes y variadas formas de mostrar los datos de nuestras capturas. Muchas de ellas pasan por usar la forma:

-T pdml|ps|psml|json|ek|text|fields

Hemos visto muchos ejemplos de la salida -Ttext y -Tfields (la más común). En esta ocasión vamos a ver el formato de salida Json que la indicaremos con:

• -T ek
• -T json

¿ Y cuál es la diferencia ?. Pues que -T ek muestra los datos json en bruto, todos los datos de cada frame en una sola línea y -T json sale con los datos ya formateados y «en bonito»… por decirlo de alguna manera. Como queremos usar  la potencia de jq para formatear los datos, usaremos -T ek.

Una característica común de las dos formas es que ambas presentan los datos al completo, es decir que cuando se muestren los datos de un segmento TCP, se mostrarán todos los campos display filter que correspondan a ese segmento. Lo mismo con el datagrama UDP, etc, etc.

Todo lo que vamos a hacer es válido tanto para sistemas Linux/GNU como para Windows.  Con alguna ligera variación que ya comentaremos.

Tshark, Json y Jq.

Para que observéis las diferencias entre -Tjson y -T ek:

tshark -rsmtp.pcap -Y'smtp and frame.number==7' -T json

tshark -rsmtp.pcap -Y'smtp and frame.number==7' -T ek

Yo voy a usar este de arriba con jq de la forma más básica, veremos que el aspecto cambia bastante:

tshark -rsmtp.pcap -Y'smtp and frame.number==7' -T ek | jq .

Como vemos en la captura de arriba, si no establecemos ningún criterio de filtro en tshark, saldrán todos los «layers«: eth, ip, tcp, udp, smtp, http, etc, etc, y los que correspondan al frame que vayamos a visualizar.

Vamos a establecer un criterio de filtro. Queremos ver, dentro del layer smtp los «campos» que correspondan al fitro tshark -Y»smtp.req.parameter» y lo mejor, un ejemplo. Usaremos para el filtro ag o grep. Y empezamos a complicar las cosas para ir avanzando y afinar nuestras búsquedas:

tshark -rsmtp.pcap -Y"smtp.req.parameter" -Tek | ag "\"smtp\"" |jq .layers.smtp

y la salida:

En windows podríamos usar, por ejemplo findstr «»smtp»» en vez de ag.

Otro ejemplo. Ahora vamos a sacar información de dos layers: los datos correspondientes a IP y a DNS;

tshark -rsmtp.pcap -Tek | ag "\"dns\"" | jq .layers.ip,.layers.dns

la salida:

Ahora nos interesa ver todo lo relativo a HTTP e IP. Este último para ver los campos relativos a IPs de origen/destino, Geolocalización GeoIP, etc.

tshark -r2017_cerber.pcap -Tek | jq -c . | ag "\,\"http\"" | jq .layers.ip,.layers.http

Sacamos algunos datos del payload y empezamos a profundizar con los filtros. Vamos a usar el layer http y profundizamos hasta llegar a http_file_data:

tshark -r2017_cerber.pcap -Y "http" -Tek | ag "\"http\"\:" | jq .layers.http.http_http_file_data

Si hablamos de TCP, tenemos también layers/campos muy interesantes como:

tcp_segments_tcp_reassembled_data

De la misma forma tenemos:

• tcp_tcp_segment_data
• media_media_type

y otros que ya iremos viendo.

Vamos a ver otro ejemplo para «ver» la información correspondiente a SMB y la asociada a WS expert info. Este último muy interesante para extraer información extra. En este caso:

_ws_malformed

la línea de comandos

tshark -reternalblue-success-unpatched-win7.pcap -Tek | jq -c . | ag "\,\"_ws_malformed\"" | jq .layers.smb,.layers._ws_malformed

y la salida:

Un último ejemplo de las formas que tenemos de configurar la línea de comandos tshark para presentar la información que queremos:

tshark -r../pcap/2017_cerber.pcap -Y'http.request' -Tek -ehttp.request.method -eip.dst -ehttp.host -ehttp.request.uri -etext | ag "http_request" | jq .

tshark -r../pcap/2017_cerber.pcap -Y'http.request' -Tek -ehttp.request.method -eip.dst -ehttp.host -ehttp.request.uri -etext

tshark -r../pcap/2017_cerber.pcap -Y'http.request' -Tjson -ehttp.request.method -eip.dst -ehttp.host -ehttp.request.uri -etext

Un último e interesante ejemplo usando el «agrupador» []:

tshark -r2017_cerber.pcap -Tek | jq '[.layers.ip.ip_ip_src,.layers.ip.ip_ip_dst,.layers.tcp]' | grep -v null

Para la la siguiente parte veremos el uso de:

• select
• contains
• multiples selects
• agrupamientos
• etc ..

====

Y hasta aquí por hoy.

Gracias y hasta la próxima

Para ilustrar el funcionamiento de esta utilidad, voy a usar logs de Suricata_IDS, TCPDump, Netsniff-ng.

Al lio…

CSPLIT. Divide y vencerás.

Vamos a imaginar que tenemos un log muy grande y queremos dividirlo. Por ejemplo un logs eve.json de Suricata IDS. Estos logs, según tengamos configurada suricata.yaml y la información capturada, pueden ser muy grandes.

Uso básico.

Queremos dividirlo por «secciones» HTTP. Podemos usar la siguiente línea de comandos:

cat c:\suricata\log1\eve.json|grep -E "e\":\"http"|jq ".timestamp,.http"|csplit - /..T..:/ {*}

Indicamos a jq que nos devuelva la salida HTTP iniciando con el timestamp (de timestamp a timestamp) y, a continuación, la información HTTP en sí. Usamos el patrón de corte que lo extraemos usando el timestamp, (marco el corte con negrita):

«2017-03-31T19:14:55.999236+0200″

/..T..:/

La salida:

crea una serie de archivos:

visualizamos dos de los archivos para ver que hace realmente esta utilidad según hemos ejecutado con el patrón comentado, en este caso los archivos generados xx27 y xx30:

Si queremos hacer lo mismo con las aletas (alert de Suricata IDS):

cat eve.json|grep -E "e\":\"alert"|jq ".timestamp,.alert"|csplit - /..T..:/ {*}

Ordenando. el uso de prefix.

Si quisiéramos ordenar un poco porque la intención es usar diferentes tipos de  keys en jq, por ejemplo, alert, http, smtp, etc, usamos prefix con -f:

cat eve.json|grep -E "e\":\"alert"|jq ".timestamp,.alert"|csplit - -f alert /..T..:/ {*}

los archivos cortados generados se llamarían alert27, alert35, etc.

Cortando TCPDump, Windump.

Ahora vamos a cortar en archivos separados los datos -X hexa y ascii de windump/tcpdump y puerto 80.

El patrón de corte lo extraemos usando la marca de tiempo de la salida tcpdump:

19:56:11.

/..:..:..\./

tcpdump -nr ../../pcap/2017_cerber.pcap -X tcp port 80 | csplit - -f http /..:..:..\./ {*}

visualizamos dos archivos generados:

Podríamos usar los archivos generados independientemente para buscar, por poner un ejemplo muy básico:

grep -E "text\/html" http*

y …:

Netsniff-ng.

Un ejemplo básico con netsniff-ng.

patrón de corte:

/\<\.\?/

sudo netsniff-ng -i ../../pcap/smtp.pcap -b1 -f'port 25' --ascii | csplit - -f smtpa /\<\.\?/ {*}

En el próximo artículo veremos ya una forma más práctica y uso más serio de esta utilidad. Además, usaremos otros tipos de patrones de corte más avanzados.

==

Y esto es todo, hasta la próxima

Al lio…

Se trata de realizar una búsqueda de dispositivos que son proclives a tener una posible vulnerabilidad. Hace unos días encontré un sitio ( https://www.redeszone.net/2017/04/21/vulnerabilidades-routers-linksys/ ) donde se exponía una serie de modelos de routers Linksys, concretamente 25 con una serie de vulnerabilidades:

Usaremos este archivo para nuestra búsqueda.

cat linksys.txt | xargs -I% shodan download % %

Ya lo tenemos:

Ya solo nos queda la búsqueda con shodan parse usando los archivos descargados json.gz de la forma:

dir *json.gz -1 | xargs -I% shodan parse --fields ip_str,port,org --separator , %

El resultado:

Evidentemente, esta es una posible forma de búsqueda. Podríamos usar también xargs y shodan host, por poner un ejemplo.

==================

Y como se trata de un breve tip, hasta aquí por hoy. Hasta la próxima.

Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark., Geolocalización GeoIP mediante Column format/proto.colinfo, análisis de eventos SMB/CIFS – Netbios, captura remota de paquetes, Column format mediante %Cus y tcp.stream, filtrado frame/frame.protocols, estadísticas COUNT, SUM, MIN, MAX, AVG, filtros XML/RSS y estádisticas, filtros HTTP, detección de problemas en la red, análisis de correo SMTP, detección borrado ficheros de nuestra red, filtros y estádisticas, etc, etc.

En esta ocasión vamos a ver una forma de extraer información muy concreta: imágenes png / jpg / gif y correlacionarlas con otro tipo de información HTTP. Algo básico para empezar esta nueva «temporada» de artículos.

Extracción básica. primer paso.

Podríamos ejecutar tshark con un filtro básico HTTP:

tshark -r2015-10-28-traffic-analysis-exercise.pcap -Y’http’

5555 171.770016 172.16.124.217 -> www.mortgagejaw.com HTTP 413 GET /wp-content/uploads/2012/10/nature_graphics-300x250.jpg HTTP/1.1 
5589 171.880612 www.mortgagejaw.com -> 172.16.124.217 HTTP 1380 HTTP/1.1 200 OK  (JPEG JFIF image)
5593 171.915865 172.16.124.217 -> pagead46.l.doubleclick.net HTTP 370 GET /pagead/show_ads.js HTTP/1.1 
5597 171.968920 www.mortgagejaw.com -> 172.16.124.217 HTTP 1039 HTTP/1.1 200 OK  (application/javascript)
5688 172.034720 172.16.124.217 -> www.mortgagejaw.com HTTP 407 GET /wp-content/themes/FREEmium/img/search_submit.png HTTP/1.1 
5689 172.044679 172.16.124.217 -> www.mortgagejaw.com HTTP 409 GET /wp-content/themes/FREEmium/img/content_main_bg.png HTTP/1.1 
5708 172.110960 pagead46.l.doubleclick.net -> 172.16.124.217 HTTP 530 HTTP/1.1 200 OK  (text/javascript)
5718 172.177910 172.16.124.217 -> pagead46.l.doubleclick.net HTTP 398 GET /pagead/js/r20151020/r20151006/show_ads_impl.js HTTP/1.1 
5722 172.187818 www.mortgagejaw.com -> 172.16.124.217 HTTP 668 HTTP/1.1 200 OK  (JPEG JFIF image)
5725 172.188898 172.16.124.217 -> www.mortgagejaw.com HTTP 404 GET /wp-content/themes/FREEmium/img/background.png HTTP/1.1 
5736 172.199990 www.mortgagejaw.com -> 172.16.124.217 HTTP 1059 HTTP/1.1 200 OK  (JPEG JFIF image)
5743 172.201611 www.mortgagejaw.com -> 172.16.124.217 HTTP 1217 HTTP/1.1 200 OK  (JPEG JFIF image)
5745 172.209545 172.16.124.217 -> www.mortgagejaw.com HTTP 397 GET /wp-content/themes/FREEmium/img/rss.png HTTP/1.1 
5746 172.209778 172.16.124.217 -> www.mortgagejaw.com HTTP 398 GET /wp-content/themes/FREEmium/img/date.png HTTP/1.1 
5752 172.215326 www.mortgagejaw.com -> 172.16.124.217 HTTP 810 HTTP/1.1 200 OK  (JPEG JFIF image)
5755 172.216091 172.16.124.217 -> www.mortgagejaw.com HTTP 407 GET /wp-content/themes/FREEmium/img/menu_selected.gif HTTP/1.1 
5759 172.290471 www.mortgagejaw.com -> 172.16.124.217 HTTP 765 HTTP/1.1 200 OK  (PNG)
5761 172.304076 www.mortgagejaw.com -> 172.16.124.217 HTTP 489 HTTP/1.1 200 OK  (PNG)
5766 172.308370 172.16.124.217 -> www.mortgagejaw.com HTTP 406 GET /wp-content/themes/FREEmium/img/search_input.gif HTTP/1.1 
5770 172.312570 172.16.124.217 -> www.mortgagejaw.com HTTP 403 GET /wp-content/themes/FREEmium/img/highlight.gif HTTP/1.1

Vemos que en la salida se aprecian rastros de imágenes PNG y JPG por ejemplo. Poco más. Afinamos un poquito con filtros y formas de extraer información que ya hemos visto. Queremos saber, sobre png, que software se usó para crearlos, método de compresión, URL donde aparecen….

tshark -r2015-10-28-traffic-analysis-exercise.pcap -Y'png' -o gui.column.format:'"IPOrigen","%Cus:ip.src", "IPDest", "%Cus:ip.dst", "png1","%Cus:png.text.keyword", "png2","%Cus:png.text.string", "png3", "%Cus:png.ihdr.compression_method", "http","%Cus:http.request.uri"'

obtenemos lo siguiente:

204.79.197.200 172.16.124.217 Software,Creation Time Adobe Fireworks CS6,06/23/15 Deflate 
204.79.197.200 172.16.124.217   Deflate 
204.79.197.200 172.16.124.217   Deflate 
187.17.111.99 172.16.124.217 Software Adobe ImageReady Deflate 
187.17.111.99 172.16.124.217   Deflate 
187.17.111.99 172.16.124.217 Software Adobe ImageReady Deflate 
187.17.111.99 172.16.124.217 Software Adobe ImageReady Deflate 
204.79.197.200 172.16.124.217 Software Paint.NET v3.5.10 Deflate 
66.33.210.104 172.16.124.217 Software Adobe ImageReady Deflate 
66.33.210.104 172.16.124.217 Software Adobe ImageReady Deflate 
66.33.210.104 172.16.124.217 Software Adobe ImageReady Deflate 
66.33.210.104 172.16.124.217 Software Adobe ImageReady Deflate 
66.33.210.104 172.16.124.217 Software Adobe ImageReady Deflate 
66.33.210.104 172.16.124.217 Software Adobe ImageReady Deflate

Falta información que no aparece como http.request.uri. Seguimos afinando un poco más:

Afinando para extraer la información de forma correcta.

Probamos ahora aplicando el filtro (seguimos  con los ficheros de imagen png):

http.content_type==»image/png» || http.request.full_uri contains «png»

tshark -r2015-10-28-traffic-analysis-exercise.pcap -Y'http.content_type=="image/png" || http.request.full_uri contains "png"' -Tfields -eframe.number -ehttp.request.full_uri -epng.text.string -epng.text.keyword

Obtenemos lo siguiente:

310 http://www.bing.com/s/a/hpc14.png 
337 http://www.bing.com/sa/simg/sw_mg_l_4d_orange.png 
341 Adobe Fireworks CS6,06/23/15 Software,Creation Time
385 
1632 http://www.bing.com/rms/CarouselSprite/ic/c6fc9ef6/f62ecece.png?bu=rms+answers+Homepage+CarouselOpen%2cCarouselClose 
1679 
3531 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/images/label-sale.png 
3757 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-facebook.png 
3759 Adobe ImageReady Software
3762 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-twitter.png 
3888 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-redes-sociais.png 
3977 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-instagram.png 
4196 
4262 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/fashiontemplate/pt002/skin/frontend/default/pagayo-theme-002/images/search-icon-bg.png 
4263 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/skin/frontend/default/pagayo-theme-002/images/bg-main.png 
4318 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/fashiontemplate/pt002/skin/frontend/default/pagayo-theme-002/images/shadow-footer.png 
4363 http://www.benditabonita.com/skin/frontend/base/default/css/magestore/bannerslider/image/slide2//jquery-slider-theme.png 
4563 Adobe ImageReady Software
4821 http://www.benditabonita.com/media/favicon/default/favico1.png 
4824 Adobe ImageReady Software
5288 http://www.bing.com/fd/s/as_spell_underline.png 
5291 Paint.NET v3.5.10 Software
5688 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/search_submit.png 
5689 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/content_main_bg.png 
5725 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/background.png 
5745 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/rss.png 
5746 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/date.png 
5759 Adobe ImageReady Software
5761 Adobe ImageReady Software
5829 Adobe ImageReady Software
5831 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/sidebar_right.png 
5832 Adobe ImageReady Software
5836 Adobe ImageReady Software
6041 Adobe ImageReady Software

Bien, ahora tenemos la información pero mezclada y si saber que características o información de los ficheros de imágenes corresponde con la URL/imagen.png

Para terminar de sacar la información tal como la necesitamos, introduciremos un campo para el tcp stream, de forma que podamos relacionar las líneas de información con el stream o segmentos TCP que pertenecen a la misma conexión, que se identifica con un número o número de stream o conexión:

tshark -r2015-10-28-traffic-analysis-exercise.pcap -Y'http.content_type=="image/png" || http.request.full_uri contains "png"' -Tfields -etcp.stream -eframe.number -eip.src -eip.dst -ehttp.request.full_uri -epng.text.string -epng.text.keyword

y obtenemos:

9 310 172.16.124.217 204.79.197.200 http://www.bing.com/s/a/hpc14.png 
10 337 172.16.124.217 204.79.197.200 http://www.bing.com/sa/simg/sw_mg_l_4d_orange.png 
9 341 204.79.197.200 172.16.124.217 Adobe Fireworks CS6,06/23/15 Software,Creation Time
10 385 204.79.197.200 172.16.124.217 
11 1632 172.16.124.217 204.79.197.200 http://www.bing.com/rms/CarouselSprite/ic/c6fc9ef6/f62ecece.png?bu=rms+answers+Homepage+CarouselOpen%2cCarouselClose 
11 1679 204.79.197.200 172.16.124.217 
28 3531 172.16.124.217 187.17.111.99 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/images/label-sale.png 
29 3757 172.16.124.217 187.17.111.99 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-facebook.png 
28 3759 187.17.111.99 172.16.124.217 Adobe ImageReady Software
28 3762 172.16.124.217 187.17.111.99 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-twitter.png 
27 3888 172.16.124.217 187.17.111.99 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-redes-sociais.png 
31 3977 172.16.124.217 187.17.111.99 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-instagram.png 
31 4196 187.17.111.99 172.16.124.217 
31 4262 172.16.124.217 187.17.111.99 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/fashiontemplate/pt002/skin/frontend/default/pagayo-theme-002/images/search-icon-bg.png 
23 4263 172.16.124.217 187.17.111.99 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/skin/frontend/default/pagayo-theme-002/images/bg-main.png 
32 4318 172.16.124.217 187.17.111.99 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/fashiontemplate/pt002/skin/frontend/default/pagayo-theme-002/images/shadow-footer.png 
33 4363 172.16.124.217 187.17.111.99 http://www.benditabonita.com/skin/frontend/base/default/css/magestore/bannerslider/image/slide2//jquery-slider-theme.png 
27 4563 187.17.111.99 172.16.124.217 Adobe ImageReady Software
27 4821 172.16.124.217 187.17.111.99 http://www.benditabonita.com/media/favicon/default/favico1.png 
27 4824 187.17.111.99 172.16.124.217 Adobe ImageReady Software
42 5288 172.16.124.217 204.79.197.200 http://www.bing.com/fd/s/as_spell_underline.png 
42 5291 204.79.197.200 172.16.124.217 Paint.NET v3.5.10 Software
53 5688 172.16.124.217 66.33.210.104 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/search_submit.png 
52 5689 172.16.124.217 66.33.210.104 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/content_main_bg.png 
54 5725 172.16.124.217 66.33.210.104 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/background.png 
57 5745 172.16.124.217 66.33.210.104 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/rss.png 
55 5746 172.16.124.217 66.33.210.104 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/date.png 
53 5759 66.33.210.104 172.16.124.217 Adobe ImageReady Software
52 5761 66.33.210.104 172.16.124.217 Adobe ImageReady Software
54 5829 66.33.210.104 172.16.124.217 Adobe ImageReady Software
54 5831 172.16.124.217 66.33.210.104 http://www.mortgagejaw.com/wp-content/themes/FREEmium/img/sidebar_right.png 
55 5832 66.33.210.104 172.16.124.217 Adobe ImageReady Software
57 5836 66.33.210.104 172.16.124.217 Adobe ImageReady Software
54 6041 66.33.210.104 172.16.124.217 Adobe ImageReady Software

Las dos líneas en negrita, vemos que pertenecen al mismo stream, el 28:

28 3531 172.16.124.217 187.17.111.99 http://www.benditabonita.com/skin/frontend/default/pagayo-theme-002/images/label-sale.png
29 3757 172.16.124.217 187.17.111.99 http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-social-facebook.png
28 3759 187.17.111.99 172.16.124.217 Adobe ImageReady Software

y tenemos la información que necesitábamos, la URL del fichero de imagen con la información de software de creación y más información que podríamos sacar de cada imagen.

Lo  comprobamos realizando un follow tcp stream en modo CLI:

tshark -r2015-10-28-traffic-analysis-exercise.pcap -qz follow,tcp,ascii,28

y nos centramos en esta parte de la salida:

GET /skin/frontend/default/pagayo-theme-002/images/label-sale.png HTTP/1.1
Accept: image/png, image/svg+xml, image/*;q=0.8, */*;q=0.5
Referer: http://www.benditabonita.com/
Accept-Language: en-US
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: www.benditabonita.com
Connection: Keep-Alive
Cookie: frontend=i4hdjnisej2d955mfm66277lc5

 1369
HTTP/1.1 200 OK
Date: Wed, 28 Oct 2015 17:54:41 GMT
Content-Type: image/png
Content-Length: 4347
Connection: keep-alive
Server: Apache
Last-Modified: Fri, 20 Sep 2013 01:50:21 GMT
ETag: "200ff41-10fb-4e6c6e4abed3e"
Accept-Ranges: bytes
X-Cache-Status: BYPASS

.PNG
.
IHDR...I...;.....7.......tEXtSoftware.Adobe ImageReadyq.e<..."iTXtXML:com.adobe.xmp.....<?xpacket begin="..." id="W5M0MpCehiHzreSzNTczkc9d"?> <x:xmpmeta xmlns:x="adobe:ns:meta/" x:xmptk="Adobe XMP Core 5.0-c060 61.134777, 2010/02/12-17:32:00 "> <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"> <rdf:Description rdf:about="" xmlns:xmp="http://ns.adobe.com/xap/1.0/" xmlns:xmpMM="http://ns.adobe.com/xap/1.0/mm/" xmlns:stRef="http://ns.adobe.com/xap/1.0/sType/ResourceRef#" xmp: xmpMM:InstanceID="xmp.iid:98A39AEF2FD311E2BD6BD99F8EBF86FB" xmpMM:DocumentID="xmp.did:98A39AF02FD311E2BD6BD99F8EBF86FB"> <xmpMM:DerivedFrom stRef:instanceID="xmp.iid:98A39AED2FD311E2BD6BD99F8EBF86FB" stRe@@.Qv.#g;<C.s$-F.Z...9..=Ev/......+.A.../]...%....}0.,.5.......9q.........KZ...,...J...)o.-w.~g...ef........3.93g.7.o=...O|...
CreatorTool="Adobe Photoshop CS5 Macintosh"

incluso en la línea marcada en rojo, obtenemos más información hacia la derecha como:

CreatorTool="Adobe Photoshop CS5 Macintosh"

Para los archivos de imagen JPG/JPEG, podríamos realizar algo similar:

tshark -r2015-10-28-traffic-analysis-exercise.pcap -Y'http.content_type=="image/jpeg" || http.request.full_uri contains "jpg"' -Tfields -etcp.stream -eframe.number -eip.src -eip.dst -ehttp.request.full_uri -eimage-jfif.comment -eimage-jfif.identifier

y obtendríamos algo a sí como:

24      2882    172.16.124.217  187.17.111.99   http://www.benditabonita.com/media/bannerslider/0/0/005.jpg 
27      3323    172.16.124.217  187.17.111.99   http://www.benditabonita.com/media/catalog/product/cache/1/small_image/210x/9df78eab33525d08d6e5fb8d27136e95/b/o/bolsas_carteiro_azul.jpg 
29      3500    187.17.111.99   172.16.124.217                  JFIF 
29      3528    172.16.124.217  187.17.111.99   http://www.benditabonita.com/media/catalog/product/cache/1/small_image/210x/9df78eab33525d08d6e5fb8d27136e95/f/r/franja_marrom.jpg 
28      3529    187.17.111.99   172.16.124.217          CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90 
        JFIF 
23      3574    187.17.111.99   172.16.124.217                  JFIF 
23      3578    172.16.124.217  187.17.111.99   http://www.benditabonita.com/media/catalog/product/cache/1/small_image/210x/9df78eab33525d08d6e5fb8d27136e95/s/h/shortinho_ombr_frente_1.jpg 
27      3624    187.17.111.99   172.16.124.217          CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90 
        JFIF 
27      3637    172.16.124.217  187.17.111.99   http://www.benditabonita.com/media/catalog/product/cache/1/small_image/210x/9df78eab33525d08d6e5fb8d27136e95/d/s/dsc_3670_copy_crop.jpg 
29      3751    187.17.111.99   172.16.124.217          CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90 
        JFIF 
23      3792    187.17.111.99   172.16.124.217          CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90 
        JFIF 
27      3849    187.17.111.99   172.16.124.217          CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 90 
        JFIF 
32      3978    172.16.124.217  187.17.111.99   http://www.benditabonita.com/media/wysiwyg/pagayo/pt002/icon-site-seguro.jpg 
32      4297    187.17.111.99   172.16.124.217                  JFIF,Exif,http://ns.adobe.com/xap/1.0/,ICC_PROFILE 
42      5152    204.79.197.200  172.16.124.217                  JFIF 
52      5520    172.16.124.217  66.33.210.104   http://www.mortgagejaw.com/wp-content/uploads/2012/10/red_baseball-300x250.jpg 
54      5551    172.16.124.217  66.33.210.104   http://www.mortgagejaw.com/wp-content/uploads/2013/04/small_house_2.jpg 
57      5552    172.16.124.217  66.33.210.104   http://www.mortgagejaw.com/wp-content/uploads/2012/11/lottery_winner-300x250.jpg 
55      5554    172.16.124.217  66.33.210.104   http://www.mortgagejaw.com/wp-content/uploads/2012/10/swirly_swirls_of_swirlness-300x250.jpg 
56      5555    172.16.124.217  66.33.210.104   http://www.mortgagejaw.com/wp-content/uploads/2012/10/nature_graphics-300x250.jpg 
52      5589    66.33.210.104   172.16.124.217                  JFIF 
54      5722    66.33.210.104   172.16.124.217          CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 80

Aunque la información que podemos extraer de un .pcap tanto para imagenes PNG, JPG como para GIF es mucha más de lo aquí expuesto.

===============================================

Y hasta aquí por hoy. La próxima semana un artículo algo más técnico y avanzado.

Malcom.

Además tenemos una serie de facilidades para interpretar el tráfico y visualizar las comunicaciones entre nodos que iremos viendo a continuación. Malcom está orientado sobre todo a la detección/análisis de malware. En esta primera parte veremos la interface y el uso básico.

Veremos, también como con Bro IDS/IPS también podemos detectar, en un primer pase, el incicio de Malware y analizarlo un poco más con Malcom.

Al lio…

Instalando Malcom.

La instalación de Malcom la he realizado sobre mi Ubuntu 13.10. Se trata de una instalación sencilla cuyos pasos podeis ver y seguir desde la ayuda a la instalación de la web oficial: https://github.com/tomchop/malcom

Una vez instalado desde la terminal entramos en la carpeta ./malcom hacemos lo siguiente para la ejecución más básica:

Ejecutando Malcom

cargará el webserver y los feeds (ya veremos que son):

Cargando webserver y feeds

Malcom. Uso básico.

ya tenemos cargado el webserver. Accedemos a el desde un navegador: 0.0.0.0:8080 o desde cualquier otro host, por ejemplo 192.168.1.106:8080.

Aparecerá en el navegador la siguiente interface:

Malcom. Dataset

En esta primera pantalla tendríamos los datos de nuestras  sesiones/capturas de tráfico guardadas en una base de datos mongoDB (base de datos NoSQL) . Si pulsamos en Sniffer:

Malcom Sniffer

desde ahí podremos seleccionar nuestro archivo de captura .pcap, un nombre para la sesión y aplicar un filtro BPF si queremos. Pulsamos en Create new session y:

Malcom. Sesión abierta Graph.

Aquí destacamos las siguientes zonas de la interface.

• Zona central de visualización gráfica de la captura con nodos que representan ip, hostname y url. Si pulsamos en cada cada tipo de nodo, se desplegará la información correspondiente en el panel derecho (Info).
• Abajo tenemos botones para alejar o acercar nodos, marcar/desmarcar nodos, seleccionar, mover, etc.
• A la derecha, información del nodo y datos GeoIP si se dá el caso. En este caso no porque son host de unared interna.
• a la derecha, abajo, tenemos información de las sesiones activas o guardadas en la BD.

En este caso se trata de un nmap scan desde el nodo de la red (192.168.1.5) hacia otros host del mismo segmento de red.

Si pulsamos en la pestaña Flow (arriba), vermos el flujo del tráfico, si se ha ahplicado algún decode y posibilidad de visualizar o descargar el payload. (marcado en rojo abajo):

Malcom. Flow.

Si volvemos a la pantalla primera Dataset, vemos que los  datos están guardados con sus tags correspondientes y otros datos, además de la gestión de la Base de Datos.

Podemos busccar en Search en el panel de la derecha o en la pestaña After dataset, borrar los datos, etc.

Malcom. Dataset y gestión BD.

Yo voy a usar el borrado de datos y cargar otro .pcap….

Un ejemplo con Zeus GameOver.

Antes que nada analizamos con Bro IDS / IPS.

Para ver sobre instalación y uso básico / avanzado de BRO IDS/IPS: https://seguridadyredes.wordpress.com/category/bro-ids/

Ejecutamos bro con el archivo .pcap objeto de análisis:

alfon@broids:~/browork$ sudo /usr/local/bro/bin/bro -C -r ../pcap/BIN_ZeusGameover_2012-02.pcap local.bro

obtenemos de esta forma una serie de logs. A mí me intersa sobre todo el log: notice.log

alfon@broids:~/browork$ cat notice.log | /usr/local/bro/bin/bro-cut id.orig_h id.orig_p id.resp_h id.resp_p file_desc msg

Obtenemos lo siguiente (pinchar par ampliar):

Salida bro brocul. malware

Vemos que detecta el Malware.

Si arriba añadimos, además de los campos id.orig_h id.orig_p id.resp_h id.resp_p file_desc  msg, el campo sub, tendríamos también la referencia del Malware… por ejemplo en este caso saldría referencias como esta: https://www.virustotal.com/en/search/?query=6027557ace4158d21b771503ed3d84f8911134a8

También prodríamos:

alfon@broids:~/browork$ cat notice.log | /usr/local/bro/bin/bro-cut | grep Malware

Como curiosidad podemos ver con bro otros archivos .exe no detectados como Malware de esta forma:

alfon@broids:~/browork$ cat files.log | /usr/local/bro/bin/bro-cut | grep exe | sort | uniq -c

Ahora analizamos con Malcom.

Abrimos un .pcap, en este caso BIN_ZeusGameover_2012-02.pcap y:

Gráfica con BIN_ZeusGameover_2012-02.pcap

Se trata de un ejemplo de Zeus GameOver. Observad lo marcado en rojo y verde. Vemos también el host de la red involucrado en el centro. En el recuadro rojo se aprecia visualmente la comunicación del host de la red con el host externo. Vemos su IP el http.request y el dominio marcados en nodos y cada uno con su color.

Si vamos al a Loaded Feeds o alimentadores de información de Malcom, (arriba), vemos lo siguiente:

Malcom. Feeds cargados

Sobran los comentarios ¿ verdad ?.

Si investigamos un poquito por internet sobre el dominio que hemos visto más arriba (ewpetro.com), aparece o aparecía en su momento como un Zeus Tracker:

Malcom. Zeus tracker

Hemos visto también que en Flows podemos ver los payloads. Vamos entonces a Flows y:

Malcom. Flows. Payload.

========================================

Y hasta aquí por hoy y en esta primera parte, en la que he tratado de presentar la herramienta, usarla de forma básica y un pequeño ejemplo.

Hasta la próxima..

============================================

Instalaremos la última versión de Netsniff-ng y veremos otras formas de uso más avanzadas, creación de filtros personalizados, rendimiento, astraceroute, trafgen, etc.

Al lío…

Instalación Netsniff-ng 0.5.8

En mi caso casi tengo cumplidos todos los prerequisitos, pero si no es así instalamos lo siguiente:

alfon@ids0:~$ sudo apt-get install git build-essential flex bison ccache libnl-3-dev libnl-genl-3-dev libgeoip-dev libnetfilter-conntrack-dev asciidoc libncurses5-dev liburcu-dev libnet1-dev libpcap-dev

Es posible que nos lleve un ratito, así que paciencia.

Ahora vamos a instalar netsniff-ng a través de git de la forma:

root@ids0:/home/alfon# git clone git://git.cryptoism.org/pub/git/netsniff-ng.git
Cloning into 'netsniff-ng'...
remote: Counting objects: 152, done.
remote: Compressing objects: 100% (137/137), done.
remote: Total 152 (delta 11), reused 53 (delta 11)
Receiving objects: 100% (152/152), 428.16 KiB | 198 KiB/s, done.
Resolving deltas: 100% (11/11), done.y ahora:

• cd netsniff-ng
• sudo make
• sudo make install

En caso de error en el make con curvetun:

Makefile:214: atención: la variable `NACL_INC_DIR’ no ha sido definida-e   CC xmalloc.cgcc: error: curvetun/xmalloc.o: No existe el archivo o el directoriomake: *** [curvetun/xmalloc.o] Error 1

entonces, dentro de la carpeta netsniff-ng, hacemos lo siguiente y te tomas un café porque se lleva su tiempo:

cd curvetun
./build_nacl.sh ~/nacl
./nacl_path.sh ~/nacl/build/include/x86 ~/nacl/build/lib/x86

Si el error sigue, no pasa nada. La herramienta curvetun la veremos en otro capítulo. El resto funcionará correctamente.

Creando filtros personalizados con tcpdump.

Ya vimos en la primera parte que podemos cargar filtros bpf de la forma:

sudo netsniff-ng -deth0 -f /etc/netsniff-ng/rules/icmp.bpf

Como veis, en /etc/netsniff-ng/rules tenemos una lista de filtros, pero podemos crear otros según nuestras necesidades. Para ello usaremos tcpdump y la opción -dd (Dump packet-matching code as a C program fragment).

Por ejemplo. Si queremos crear un filtro bpf para arp.

root@ids0: # tcpdump -dd arp
{ 0x28, 0, 0, 0x0000000c },
{ 0x15, 0, 1, 0x00000806 },
{ 0x6, 0, 0, 0x0000ffff },
{ 0x6, 0, 0, 0x00000000 },

Si lo volcamos a un archivo:

tcpdump -dd arp > arp.bpf

lo usamos con netsniff-ng de la forma:

sudo netsniff-ng -deth1 -f arp.bpf

si creamos un filtro algo más complejo:

tcpdump -dd «tcp[13] & 2 == 2» > tcpSYN.bdf

tenemos:

netsniff-ng -deth0 -f tcpSYN.bdf -n1

tsniff-ng

con -n1 capturamos un solo paquete.

De igual forma podríamos crear otro filtro:

tcpdump -dd «ip src 192.168.1.250 and tcp and port (80 or 8081 or 443)» > filtro01.bpf

Creando tráfico, entrada y salida.

Con netsniff-ng podemos extraer el tráfico de un fichero .pcap y «sacarlo» por la interface de la forma:

netsniff-ng -f /etc/netsniff-ng/rules/smtp.bpf –in ./pcap/XPLICO.pcap -m -o eth0 -s

obtenemos:

efectivamente:

Generando tráfico con trafgen.

Tenemos además una herramienta que es: trafgen para la creación de tráfico. Esta herramienta, de alto rendimiento y alta velocidad, puede usar múltiples CPUs y trabaja con ficheros .txf, una especie de scrips/macros de bajo nivel donde «programamos» ese tráfico. Un ejemplo:

trafgen -i /etc/netsniff-ng/trafico.txf -oeth0 -n1000 -b0

genera tráfico y lo vuelca a la interface eth0 forzando el uso de la CPU0 (-b0).

Estos archivos .txf son complejos, pero tenemos otras formas de crear el tráfico.

Lo hacemos de la forma:

netsniff-ng –in ./pcap/ftp.pcap –out ftp.cfg -s

• –in cargamos el fichero .pcap
• –out creamos el archivo de tráfico
• -s silent mode. No vuelca el resultado en pantalla.

Un extracto del fichero .cfg creado:

y lo volcamos:

trafgen –in ftp.cfg –out eth0

el resultado:

señalado con una capa azul las estadísticas de rendimiento y uso de CPU. De ahi que podemos decir, mendiate -b , la cpu a usar.

Tenemos otras opciones con trafgen como.

• –rand  generación aleaoria de paquetes.
• -b 1 -n 10000 usamos la CPU1 y generamos 10000 paquetes.
• -V para añadir más información.
• –cpus 2 con esta opción podemo decir a trafgen que use dos cpus.

Hay más lo iremos viendo en otros capítulos.

Astraceroute. Un traceroute con información GeoIP.

Esta herramienta de netsniff-ng es un traceroute que nos devuelve información AS y GeoIP.

Antes que nada actualizamos las bases de datos GeoIP. En esta ocasión lo hago desde mi SecurityOnion de la forma:

sudo astraceroute -ieth0 –update

Y ahora:

sudo astraceroute -ieth0 -H terra.es
AS path IPv4 TCP trace from 192.168.101.99 to 208.84.244.10:80 (terra.es) with len 40 Bytes, 30 max hops
Using flags SYN:0,ACK:0,ECN:0,FIN:0,PSH:0,RST:0,URG:0
...
...

 7: i[ 154124 us] 4.69.143.122 in AS3356 Level 3 Communications in United States
 8: i[ 152121 us] 4.69.137.62 in AS3356 Level 3 Communications in United States
 9: i[ 156163 us] 4.69.134.158 in AS3356 Level 3 Communications in United States
10: i[ 154346 us] 4.69.134.141 in AS3356 Level 3 Communications in United States
11: i[ 152166 us] 4.69.132.85 in AS3356 Level 3 Communications in United Kingdom
12: i[ 152687 us] 4.69.148.254 in AS3356 Level 3 Communications in United States
13: i[ 152990 us] 4.69.140.141 in AS3356 Level 3 Communications in United States
14: i[ 153954 us] 4.69.138.109 in AS3356 Level 3 Communications in United States
15: i[ 155569 us] 4.59.242.10 in AS3356 Level 3 Communications in United States
16: i[ 159944 us] 216.177.198.57 in AS22364 Telefonica USA, Inc. in United States, Miami
17: i[ 156252 us] 216.177.214.154 in AS22364 Telefonica USA, Inc. in United States, Miami
18: i[ 153889 us] 98.142.238.241 in AS40260 Terra Networks Operations Inc. in United States, Coral Gables

si añadimos la opción -L (para añadir Latitud y Longitud), obtenemos líneas como éstas:

14: i[ 153722 us] 4.69.138.109 in AS3356 Level 3 Communications in United States (38.000000/-97.000000)
15: i[ 155992 us] 4.59.242.10 in AS3356 Level 3 Communications in United States (38.000000/-97.000000)
16: i[ 160319 us] 216.177.198.57 in AS22364 Telefonica USA, Inc. in United States, Miami (25.774300/-80.193703)
17: i[ 156682 us] 216.177.214.154 in AS22364 Telefonica USA, Inc. in United States, Miami (25.763100/-80.191101)
18: i[ 154193 us] 98.142.238.241 in AS40260 Terra Networks Operations Inc. in United States, Coral Gables (25.754101/-80.271004)

Netsniff -ng. Escritura en disco de ficheros .pcap.

Para escribir a disco, lo podemos hacer de diferentes formas:

sudo netsniff-ng -ieth0 –out ./pcap/net -F 10sec -s -H -b0

Leemos desde la interface eth0 y volcamos cada 10 segundos (-F 10sec) en ./pcap/net con (–out) . No volcamos salida en pantalla (-s), le damos máxima prioridad al proceso (-H) y usamos la CPU0 (-b0).

Tendremos como resultado:

El ingervalo no solo puedeser de tiempo, también podemos indicar -F 10GiB para volcar cada 10 GB.

Podemos añadir un prefijo a nuestros archivos de captura con la opción –prefix para mejor identificación/etiquetado de la forma:

sudo netsniff-ng -ieth0 –out ./pcap/net -F 10sec -s -H -b0 –prefix «alfon_»

Otra opción es la de expecificar el tamaño ring size para RX_RING o TX_RING. Lo haríamos de la forma:

sudo netsniff-ng -ieth0 –out ./pcap/net -S 1MiB -s -H -b0 –prefix «alfon_»

Pero esto lo veremos más adelante.

=============================================================

Aún queda mucho por ver. En los próximos capítulos iremos avanzando.

Y hasta aquí por hoy. Hasta la próxima.

En esta ocasión vamos a realizar un Follow TCP Stream pero no desde Wireshark, que sería lo normal, lo haremos desde Tshark mediante línea de comandos.

Estadísticas -z follow,tcp.

Hace y algunos años vimos, como realizar distintos tipos de estadísticas usando el comando -z, por ejemplo:

• -z http,stat,filtro
• -z http,tree,filtro
• -z http_req,tree
• -z http_srv,tree

En Tshark hay un tipo de estádistica que nos muestra información Follow TCP Stream. Lo normal sería realizarlo desde wireshak, lo vimos en el artículo Wireshark / Tshark. Capturando impresiones en red., Pero usando la forma -z follow, tcp,modo,filtro[,rango] podemos hacer lo mismo pero visualizando en la consola. De esta forma se mostrará el diálogo entre dos nodos (o,1) con información IP y puertos.

Un ejemplo muy simple sería:

tshark -r c:\pcap\gateway01.pcap -nqz «follow,tcp,hex,5»

el modo sería hexadecimal, aunque tenemos también ascii y formato raw. Indicamos también que el tcp.stream = 5.

C:\>tshark -r c:\pcap\gateway01.pcap -nqz "follow,tcp,hex,5"

===================================================================
Follow: tcp,hex
Filter: tcp.stream eq 5
Node 0: 192.168.1.245:13266
Node 1: 192.168.1.136:2565
00000000  5b 22 63 6f 6e 6e 65 63  74 45 78 70 69 72 65 64  ["connec tExpired
00000010  22 2c 20 6e 75 6c 6c 5d  2c 0a 5b 22 73 74 72 65  ", null] ,.["stre
00000020  61 6d 22 2c 20 7b 22 73  65 67 6d 65 6e 74 22 3a  am", {"s egment":
00000030  20 31 30 34 7d 5d 0a 5d  0a                        104}].] .
===================================================================

si lo queremos en ascii quedaría así.

C:\>tshark -r c:\pcap\gateway01.pcap -nqz "follow,tcp,ascii,5"

===================================================================
Follow: tcp,ascii
Filter: tcp.stream eq 5
Node 0: 192.168.1.245:13266
Node 1: 192.168.1.136:2565
57
["connectExpired", null],
["stream", {"segment": 104}]

==================================================================

Un ejemplo más  evidente:

Ahora un Follow TCP Stream, también en modo ascii, de una sesión FTP:

Aquí se ve claramente el dialogo en hexadecimal entre los dos nodos para una sesión Oracle:

Aplicando filtros.

Para visualizar la información de los stream, no es preciso indicar el stream que queremos procesar, es posible también aplicar filtros. Por ejemplo, queremos realizar un FTS para el «diálogo» entre nodos/IP/puertos siguientes:

192.168.250 puerto 3704 y 192.168.1.201 puerto 9100

Para ello:

tshark -r c:\pcap\captura4.pcap -qz "follow,tcp,ascii,192.168.1.250:3704,192.168.1.201:9100"

======

Y hasta aquí por hoy, hasta la próxima.

Antes que nada.

Antes que nada, aquí (https://seguridadyredes.wordpress.com/2012/06/06/tcpick-un-sniffer-que-realiza-seguimiento-y-reensamblado-de-flujos-tcp-mostrando-datos-payload/) tenéis toda la información para instalar Tcpick y su forma de uso.

Usaremos –wR para volcar los datos capturados en archivo. Este comando volcará información de llado del cliente y del servidor. Para nuestro objetivo, es suficiente la parte del servidor (*serv.dat). Aunque como ya vimos podemos discriminar:

-wRS (para información de llado del servidor y –wRC
(par ael lado del cliente).

En esta ocasión usaré -wR.

Información previa.

Tenemos un archivo de captura de red .pcap. En esta captura hay gran cantidad de información y tenemos que filtrar. La comunicación del servidor de impresión con la impresora se realiza usando el puerto 9100. Por tanto, tendremos que crear un filtro en Tcpick. Quedará de esta forma:

tcpick -r captura4.pcap -wR «port 9100«

Analizando y extrayendo la información.

Una vez realizado esto, se crean dos archivos .dat que son:

• tcpick_192.168.1.250_192.168.1.201_9100.clnt.dat
• tcpick_192.168.1.250_192.168.1.201_9100.serv.dat

Como hemos dicho nos interesa el segundo. Lo editamos….:

Tenemos varios tipos de información. Se puede ver que se trata de un fichero .ps PostScript.

Para identificar corretamente el formato del archivo, estudiamos el formato .ps ( http://partners.adobe.com/public/developer/ps/index_specs.html ) concretamente este http://www.adobe.com/products/postscript/pdfs/PLRM.pdf

Así que lo que nos queda es preparar el archivo para que sea un .ps (PostScript)  válido.

Para ello borramos todo lo que hay por encima de:

%!PS-Adobe-3.0

y todo lo que hay por debajo (no se ve en la captura del ejemplo) de:

 %%EOF

Salvamos con la extensión .ps y abrimos con un visor de ps:

========

Y hasta aquí por hoy. Hasta la próxima.

En esta ocasión vamos a instalar y ver el funcionamiento de PRADS (Passive Real-time Asset Detection System), una herramienta perl para la detección de sistema operativo en tiempo real.

Instalación de PRADS (Passive Real-time Asset Detection System).

Lo podemos instalar de dos formas; directamente mediante apt-get install prad o desde el repositorio git:

sudo apt-get install build-essential git-core libpcre3-dev libpcap0.8-dev
git clone http://github.com/gamelinux/prads.git
cd prads/src/
make

En mi caso he instalado mediante apt-get install, que instalará el paquete prads_0.3.0-1_i386.deb

Uso básico de PRADS.

Tenemos una serie de opciones entre las que podemos destacar:

•  -i eth(x) para indicar la interface
• -r para indicar un fichero .pcap
• -c leer un archivo de configuración
• -b aplicar filtro BPF
• -a aplicamos una HOME_NET
• -D ejecutar en modo daemon
• -l fichero de log por defecto en  /var/log/prads-asset.log
• -XFRMSAK  seleccionamos flgas: X – borrar flags, F:FIN, R:RST, M:MAC, S:SYN, A:ACK, K:SYNACK
• -UTtI seleccionamos  servicio en base a protocolo: U:UDP, T:TCP-server, I:ICMP, t:TCP-cLient
• -s tamaño snaplen en bytes
• -v modo verbouse para más información
• -Z passive DNS

Ejecutamos PRADS de la forma:

sudo prads -i eth0 -v

al final obtenermos las estadísticas:

aplicamos alguna opción más (arriba teneis la descripciób de las opciones) y filtramos con grep:

También lo podríamos hacer de forma algo más «manual» en base a datos como TTL y TCP Windows Size mediante Tshark:

Por ejemplo, con un TTL de 128 y TCP Windows Size de 65535, es muy posible que se trate de Windows XP.

–

NOTA: Más arriba, en la introducción, os hablo de Satori. Os dejo un enlace sobre esta herramienta en Flu-Project: http://www.flu-project.com/fingerprinting-pasivo-con-satori.html

==========================================

Y hasta aquí por hoy. Hasta la próxima.