Cómo utilizar Brim para escanear el tráfico de red en busca de actividad maliciosa

Brim es una herramienta multiplataforma de código abierto para analizar el tráfico de la red. Este es un estudio de caso que analiza la actividad maliciosa del troyano Vidar.

Analizar el malware es una tarea compleja y desafiante. Para ello, deben estar disponibles varias herramientas para procesar e interpretar grandes cantidades de datos con el fin de simplificar el análisis. Afortunadamente, existen muy buenas herramientas para analizar el tráfico de red en busca de actividad maliciosa, como Wireshark o NetworkMiner, que son bien conocidas y tienen muchos documentos disponibles. Esta vez, sin embargo, presentaremos Brim, una poderosa herramienta gratuita de análisis de tráfico de red que se lanzó a mediados de 2018 pero que aún no es tan popular.

Brim: una herramienta para analizar el tráfico de la red.

Brim es una herramienta de código abierto especialmente diseñada para profesionales de la ciberseguridad. Puede facilitar la búsqueda y el análisis de datos de las siguientes fuentes:

  • Trampas de tráfico de red creadas por Wireshark o TCPdump
  • Conjuntos de datos estructurados, como conjuntos de datos del marco Zeek

Esto es especialmente útil para las personas que tienen que lidiar con un gran volumen de tráfico de red, especialmente aquellos que tienen dificultades para analizar con Wireshark, tshark u otro analizador de paquetes de datos.

Use Brim con Wireshark (Fuente: Brimdata)

Entre las características más destacables de esta herramienta, podemos mencionar que cuenta con soporte multiplataforma (la aplicación es compatible con sistemas Windows, macOS y GNU / Linux) y compatible con otras herramientas de código abierto (como Zed, Zeek.) Es, meerkata ) [1][2] Y un borrador de la regla IDS / IPS llamada Amenazas emergentes.

Utilice Brim para analizar la actividad de red del troyano Vidar

Por conveniencia, analizamos los rastros de red registrados por el malware Vidar mientras se ejecutaba en una computadora infectada.

Observaciones: Es importante recordar que al analizar la interceptación de tráfico con alguna evidencia o sospecha de malware, debemos utilizar un sistema dedicado aislado para tal fin (en este caso, debido a un malware problemático, recomendamos utilizar una máquina virtual en Linux. Windows sistema). . El manejo inadecuado de las capturas de red y los archivos que contienen puede dañar a nuestro propio equipo.

Características generales del malware analizado

El troyano Vidar es una versión mejorada del malware Arkei. Su objetivo principal es robar información, credenciales del navegador, historial de navegación, cookies de sesión del host infectado, tomar capturas de pantalla de las acciones del usuario de la víctima y robar el uso de soluciones 2FA y billeteras de criptomonedas. ... datos, etc. Después de recopilar esta información, el malware la envía al servidor C2 controlado por el atacante.

Su método de propagación, o vector semilla, consiste principalmente en campañas de spam maliciosas con archivos adjuntos y URL maliciosos o mediante registradores de troyanos que contienen malware.

Paso 1. Utilice Brim para habilitar la detección de tráfico de red

Paso 1

Paso 2. Utilice la consulta estándar de Brim

Aunque la herramienta tiene un lenguaje de sintaxis de consulta completo, una de las características más valiosas de Brim es la consulta estándar en la GUI. Cuando comience a extraer el tráfico de red capturado, usar estas consultas es un buen lugar para comenzar.

Entre las muchas consultas disponibles, las más destacadas son:

  • Alertas de Suricata (IDS), por categoría
  • Alertas de Suricata (IDS) por origen y destino
  • Resumen de actividades
  • Búsqueda de DNS única
  • Solicitud HTTP
  • Actividad de archivo

paso 2

Paso 3. Use Brim para detectar actividad maliciosa

Cuando seleccionamos la Categoría de consulta de Suricata y encontramos lo que se llama la "Alerta de Suricata por categoría", nos aseguramos de encontrar rápidamente indicadores de actividad de malware y analizar los registros para obtener información más detallada.

paso 3

¿Solo bien? 😉

Paso 4. Encuentra información filtrada por malware

Si luego seleccionamos la consulta Acciones de archivo, podemos identificar un archivo llamado "b9a69c67-9046-4571-a9af-0f60a1fcee8d8375730518.zip".

Teniendo en cuenta las características del malware, podemos decir que se trata de un archivo comprimido que contiene información sobre el equipo que se filtró desde Vidar. Para averiguarlo, usaremos otra herramienta de análisis de tráfico de red, como NetworkMiner:

Etapa 4

Indicadores de compromiso para las muestras tomadas durante la recolección de la red

Troyano Vidar analizado en pcap:

Nombres de archivo
a2ef57bbe3a8af95196a419a7962bfaa.exe
Arena 1 Detección de Sha1
1a0c42723cd1e2e947f904619de7fcea5ca4a183 Variante Win32 / Kryptik.HMZJ

Archivo binario descargado

Arena 256 Ruta de archivo
a770ecba3b08bbabd0a567fc978e50615f8b346709f8eb3cfacf3faab24090ba Archivo de almacenamiento: C: Users Admin AppData Local Microsoft Windows Temporary Internet Files Content.IE5 B6QGX7LP freebl3[1].dll
3fe6b1c54b8cf28f571e0c5d6636b4069a8ab00b4f11dd842cfec00691d0c9cd C: Users Admin AppData Local Microsoft Windows Archivos temporales de Internet Content.IE5 6Z2BCOUL mozglue[1].dll
334e69ac9367f708ce601a6f490ff227d6c20636da5222f148b25831d22e13d4 C: Users Admin AppData Local Microsoft Windows Archivos temporales de Internet Content.IE5 PO2HN1X2 msvcp140[1].dll
e2935b5b28550d47dc971f456d6961f20d1633b4892998750140e0eaa9ae9d78 C: Users Admin AppData Local Microsoft Windows Archivos temporales de Internet Content.IE5 78RFYB7Z nss3[1].dll
43536adef2ddcc811c28d35fa6ce3031029a2424ad393989db36169ff2995083 C: Users Admin AppData Local Microsoft Windows Archivos temporales de Internet Content.IE5 B6QGX7LP softokn3[1].dll
c40bb03199a2054dabfc7a8e01d6098e91de7193619effbd0f142a7bf031c14d C: Users Admin AppData Local Microsoft Windows Archivos temporales de Internet Content.IE5 6Z2BCOUL vcruntime140[1].dll

Búsqueda de DNS

Conexión IP

  • 45.105.185
  • 248.139.254
  • 32.238.178
  • 99.75.82
  • 108.80.190

Solicitud HTTP / HTTPS

  • http: 65.108.80[.]190/517
  • http://65.108.80.190/freebl3[.]dll
  • http://65.108.80.190/mozglue[.]dll
  • http://65.108.80.190/msvcp140[.]dll
  • http://65.108.80.190/softokn3[.]dll
  • http://65.108.80.190/nss3[.]dll
  • http: //r3.o.lencr[.]org / MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg% 2ByvTLU% 2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h% 2BvnYsUwsYCEBWLBwsdENB% 2sBLCBWSDENB% 2sBLC
  • http://65.108.80.190/vcruntime140[.]dll
  • http: //65.108.80[.]190 /

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!