jueves, 27 de septiembre de 2012

Immunity Stalker: Analizando tráfico de red en la nube

Hace unos días me pasaron un usuario y contraseña del servicio de Immunity llamado Stalker que habían presentado en la Infiltratre 2012 - lo cual agradezco mucho - y he pasado un rato jugando con él. Para los que no hayáis oído hablar de él, la idea de la solución es poder automatizar el análisis de capturas de tráfico para buscar los datos importantes y mostrar en un panel de control toda la información descubierta.
Figura 1: Aspecto general de Immunity Stalker
Stalker analiza las capturas pcap a la perfección, así que para no andar hackeando a ningún vecino cercano, decidí hacer un poco de hacking con buscadores y buscar ficheros .pcap que la gente hubiera dejado publicados por Internet como pruebas de concepto, datos de prueba, etcétera. En esos ficheros a veces se cruzan datos que no debieran, como nos pasó a nosotros en un reto hacking, por lo que pensé que sería una buena forma de probar la solución.
Figura 2: Carga de datos en Stalker
La herramienta permite subir datos en diferentes formatos, y además los va analizando con procesos en paralelo, por lo que puedes seguir trabajando mientras se analizan los datos. Una vez terminado, cada nuevo host descubierto tendrá una representación en el panel lateral de la izquierda con el número total de paquetes en los que aparecía dicho equipo. A la derecha los datos analizados.
Figura 3: Analizando hosts con Stalker. Imágenes, enlaces y búsquedas en Google
Como se puede ver, el análisis busca información muy útil como los sitios DNS consultados, las conversaciones de Facebook, los usuarios y las contraseñas que se puedan descubrir, los ficheros transmitidos, o los mensajes de correo electrónicos que puedan extraerse.
Figura 4: Contraseñas descubiertas con Stalker
Evidentemente hay que tener en presente de que es un servicio online, así que si la captura es muy grande el tiempo de subida puede ser un handicap, pero una vez allí es muy cómodo obtener información jugosa.
Figura 5: Conexiones DNS, Beacons de WiFi y e-mails
Por supuesto, el análisis completo de un pcap puede necesitar una revisión manual para sacar todo el jugo que puedan ofrecer los datos que allí hay, pero hay que reconocer que la herramienta es una chulada. Mil gracias por la cuenta de demo.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)