File2pcap. Simulando / creando tráfico de red a partir de un archivo.

Posted by Alfon on mayo 30, 2017
Seguridad Informática

Hasta ahora, en los artículos publicados sobre análisis de tráfico de red, hemos visto muchos tipos de herramientas y pequeñas utilidades para crear, interpretar, analizar, graficar, etc, tráfico de red a partir de un archivo pcap. Pero en esta ocasión vamos a ver una muy especial; porque se trata de crear / simular trafico de a partir de un archivo, por ejemplo un archivo .pdf. Con la idea de estudiar el tráfico, simular vulnerabilidades, crear reglas Snort / Suricata o estudiar su comportamiento analizando offline con algún IDS como los nombrados más arriba.

Esta herramienta de Cisco’s Talos Intelligence Group, simula el tráfico involucrando el archivo que indiquemos en en la generación del pcap.

¿ Qué es File2pcap?. Instalación.

Como ya he comentado en la introducción, se trata de simular tráfico de red y volcarlo en un archivo pcap. Crea ese tráfico a partir de un archivo que le indiquemos como entrada y lo involucra en un tipo de tráfico tal como HTTP GET/POST, SMTP/POP3/IMAP, FTP e IPV6.

Instalación.

Es muy sencilla:

  • git clone https://github.com/Cisco-Talos/file2pcap.git
  • cd file2pcap
  • make
  • sudo make install

y termina:

Bien, ya lo tenemos instalado. Es muy sencillo.

Uso de File2pcap.

Si invocamos a la ayuda:

Esto es ya casi suficiente para hacernos una idea de lo que hace y como lo hace, pero, como siempre, algunos ejemplos..

Vamos a suponer que queremos simular algo sencillo. Un tráfico tipo SMTP con un archivo llamado malware.pdf. Hacemos lo siguiente:

file2pcap -ms -p666:25 -opruebasmtp.pcap ../malware.pdf
  • -ms modo smtp
  • -p666:25 para indicar que la comunicación se realizará entre los puertos 666 por un lado y 25 (smtp) por el otro.
  • -opruebasmtp.pcap archivo de salida .pcap
  • ../malware.pdf ubicación y nombre fichero involucrado en el tráfico smtp que se va a generar.

y la salida será: Writing to pruebasmtp.pcap

Ya tenemos nuestro archivo .pcap generado, ahora vemos y analizamos la información que contiene con diversas herramientas.

Un simple…:

tshark -rpruebasmtp.pcap

nos devuelve estas dos capturas que corresponden al inicio y al final de la transmisión donde se puede observar la apertura típica de una conexión y la conexión con el servidor smtp. También la transmisión de datos DATA.

y aquí el cierre de conexión.

Lo vemos de otra forma.. con Tcpick.

Y para ello usamos:

tcpick -rpruebasmtp.pcap -bU "port 25"

la salida:

y más abajo:

Con Tcpick lo vemos mucho más claro… incluso el nombre del archivo: name=»../malware.pdf»

Vemos ahora el tráfico usando Tshark y el formato Json.

tshark -rpruebasmtp.pcap -Tek | ag ""smtp"" | jq .layers.ip,.layers.smtp

vemos el resultado, con información GeoIP y SMTP usando los layers: ip y smtp:

Queremos ver solo smtp:

tshark -rpruebasmtp.pcap -Tek | ag ""smtp"" | jq .layers.smtp

Bueno, y aquí, ¿ dónde se encuentra nuestro archivo malware.pdf ?.

Pues lo vemos consultando el layer .imf y filtrando por attachment:

tshark -rpruebasmtp.pcap -Tek | ag "attachment" | jq .layers.imf

el resultado:

aquí también tenemos mucha información.

Y todo con solo esta línea de comandos para ejecutar el generador de tráfico:

file2pcap -ms -p666:25 -opruebasmtp.pcap ../malware.pdf

Pero como ya hemos visto al principio, podemos simular variado tipo de tráfico como HTTP/GET, HTTP/PUT,FTP, etc, etc.

Y hasta aquí por hoy. Un saludo y hasta la próxima.

 

Tags: , , ,

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad