12.2.2.10 Práctica de laboratorio: Extraer un ejecutable de un PCAP

Última actualización: octubre 17, 2022

12.2.2.10 Práctica de laboratorio: Extraer un ejecutable de un PCAP (versión para el instructor)

Nota para el instructor: Los elementos con color de fuente rojo o resaltados en gris indican texto que aparece solo en la copia del instructor.

Objetivos

Parte 1: Preparar el entorno virtual
Parte 2: Analizar archivos de registros precapturados y capturas de tráfico

Antecedentes / Escenario

Analizar registros es muy importante, pero también lo es comprender de qué manera suceden las transacciones de red al nivel de los paquetes.

En esta práctica de laboratorio analizarán el tráfico de un archivo pcap previamente capturado y extraerán un ejecutable del archivo.

Recursos necesarios

  • VM CyberOps Workstation
  • Conexión a Internet

Parte 1: Preparar el entorno virtual

a. Abran Oracle VirtualBox. Hagan clic en CyberOps Workstation > Settings > Network (CyberOps Workstation > Configuración > Red). Además de Conectada a, seleccione Adaptador en puente, si es necesario, y haga clic en Aceptar.

b. Inicien sesión en la VM CyberOps Workstation (nombre de usuario: analyst / contraseña: cyberops), abran un terminal, y ejecuten el script configure_as_dhcp.sh.

[analyst@secOps ~]$ sudo ./lab.support.files/scripts/configure_as_dhcp.sh
[sudo] contraseña para analyst:
[analyst@secOps ~]$

Parte 2: Analizar archivos de registros precapturados y capturas de tráfico

En la Parte 2 trabajarán con el archivo nimda.download.pcap. Capturado en una práctica de laboratorio anterior, nimda.download.pcap contiene los paquetes relacionados con la descarga del malware Nimda. Si crearon el archivo en la práctica de laboratorio anterior y no reimportaron sus VM CyberOps Workstation, sus versiones del archivo se almacenarán en el directorio /home/analyst. Sin embargo, también se almacena una copia de ese archivo en la VM CyberOps Workstation en el directorio /home/analyst/lab.support.files/pcaps, así que podrá realizar esta práctica de laboratorio independientemente de que haya terminado la práctica anterior o no. A fines de preservar la coherencia del resultado, en la práctica de laboratorio se utilizará la versión almacenada en el directorio pcaps.

Si bien tcpdump se puede utilizar para analizar archivos capturados, la interfaz gráfica de Wireshark facilita mucho la tarea. También es importante tener en cuenta que tcpdump y Wireshark comparten el mismo formato de archivo para las capturas de paquetes; por lo tanto, los archivos PCAP creados con una herramienta se pueden abrir con la otra.

a. Cambien de directorio para ingresar a la carpeta lab.support.files/pcaps, y generen un listado de los archivos con el comando ls –l.

[analyst@secOps ~]$ cd lab.support.files/pcaps
[analyst@secOps pcaps]$ ls -l
total 7460
-rw-r--r-- 1 analyst analyst 3510551 Aug  7 15:25 lab_prep.pcap
-rw-r--r-- 1 analyst analyst  371462 Jun 22 10:47 nimda.download.pcap
-rw-r--r-- 1 analyst analyst 3750153 May 25 11:10 wannacry_download_pcap.pcap
[analyst@secOps pcaps]$

b. Emita el siguiente comando para abrir el archivo download.pcap en Wireshark.

[analyst@secOps pcaps]$ wireshark-gtk nimda.download.pcap

c. El archivo download.pcap contiene la captura de paquetes relacionadas con la descarga de malware que se realizó en la práctica de laboratorio anterior. El pcap contiene todos los paquetes enviados y recibidos mientras se estaba ejecutando tcpdump. Seleccionen el cuarto paquete de la captura y expandan el Protocolo de transferencia de hipertexto (HTTP) para que aparezca como se indica a continuación.

d. Los paquetes del uno al tres son la el protocolo de enlace TCP. En el cuarto paquete se muestra la solicitud correspondiente al archivo de malware. A modo de confirmación de lo que ya se sabía, la solicitud se realizó por HTTP, y se envió como solicitud GET.

e. Como HTTP se ejecuta por TCP, se puede utilizar la característica Follow TCP Stream (Seguir flujo de TCP) de Wireshark para reconstruir la transacción TCP. Seleccionen el primer paquete TCP de la captura; es un paquete SYN. Háganle clic derecho y elijan Follow TCP Stream.

f. En Wireshark se abre otra ventana con los detalles correspondientes a todo el flujo de TCP seleccionado.

¿Qué son todos esos símbolos que se ven en la ventana de Follow TCP Stream? ¿Son interferencias de conexión? ¿Son datos? Explique.
Los símbolos son el contenido real del archivo descargado. Ya que es un archivo binario, Wireshark no sabe cómo representarlo. Los símbolos que se muestran son la mejor suposición de Wireshark para dar sentido a los datos binarios mientras se decodifica como texto.

Se pueden distinguir algunas palabras dispersas entre los símbolos. ¿Por qué están allí?
Esas son cadenas, contenidas en el código ejecutable. Por lo general, estas palabras son parte de los mensajes proporcionados por el programa al usuario mientras se ejecuta. Si bien es más un arte que una ciencia, un analista experto puede extraer información valiosa leyendo estos fragmentos.

Pregunta de desafío: Pese al nombre W32.Nimda.Amm.exe, este ejecutable no es el famoso gusano. Por motivos de seguridad, se trata de otro archivo ejecutable al que se le cambió el nombre a W32.Nimda.Amm.exe. Si utilizan los fragmentos de las palabras que se muestran en la ventana de Follow TCP Stream de Wireshark, ¿puede decir de qué ejecutable se trata en realidad?
Si se desplaza hasta la parte inferior de esa ventana verá que este es el archivo cmd.exe de Microsoft Windows.

g. En la ventana de Follow TCP Stream, hagan clic en Close (Cerrar) para regresar al archivo nimda.download.pcap de Wireshark.

Parte 3: Extraer archivos descargados desde archivos PCAP

Como los archivos de capturas contiene paquetes relacionados con el tráfico, se puede utilizar un PCAP de una descarga para recuperar un archivo descargado anteriormente. Siga los pasos que se detallan a continuación para utilizar Wireshark y recuperar el malware Nimda.

a. En ese cuarto paquete del archivo download.pcap, observen que la solicitud HTTP GET se generó desde 209.165.200.235 hacia 209.165.202.133. En la columna Info (Información) también se ve que de hecho se trata de la solicitud GET correspondiente al archivo.

b. Con el paquete de la solicitud GET seleccionado, diríjanse a File > Export Objects > HTTP (Archivo > Exportar objetos > HTTP) desde el menú de Wireshark.

c. En Wireshark se mostrarán todos los objetos HTTP presentes en el flujo TCP que contiene la solicitud GET. En este caso, el único archivo presente en la captura es Nimda.Amm.exe. El archivo aparecerá en pantalla después de algunos segundos.

¿Por qué W32.Nimda.Amm.exe es el único archivo presente en la captura?
Ya que la captura se inició justo antes de la descarga y se detuvo justo después. No se capturó ningún otro tráfico mientras la captura estaba activa.

d. En la ventana HTTP object list (Lista de objetos HTTP), seleccionen el archivo Nimda.Amm.exe y hagan clic en Save As (Guardar como), en la parte inferior de la pantalla.

e. Hagan clic en la flecha hacia la izquierda hasta ver el botón Home (Inicio). Hagan clic en Home y luego en la carpeta analyst (no en la ficha analyst). Guarden el archivo allí.

f. Regresen a su ventana del terminal y asegúrense de que el archivo se haya guardado. Cambien de directorio para ingresar a la carpeta /home/analyst y generen una lista de los archivos de la carpeta con el comando ls -l.

[analyst@secOps pcaps]$ cd /home/analyst
[analyst@secOps ~]$ ls –l
total 364
drwxr-xr-x 2 analyst analyst   4096 Sep 26  2014 Desktop
drwx------ 3 analyst analyst   4096 May 25 11:16 Downloads
drwxr-xr-x 2 analyst analyst   4096 May 22 08:39 extra
drwxr-xr-x 8 analyst analyst   4096 Jun 22 11:38 lab.support.files
drwxr-xr-x 2 analyst analyst   4096 Mar  3 15:56 second_drive
-rw-r--r-- 1 analyst analyst 345088 Jun 22 15:12 W32.Nimda.Amm.exe
[analyst@secOps ~]$

¿Se guardó el archivo?

g. El comando file proporciona información sobre el tipo de archivo. Utilicen el comando file para averiguar un poco más sobre el malware, tal como se indica a continuación:

[analyst@secOps ~]$ file W32.Nimda.Amm.exe
W32.Nimda.Amm.exe: PE32+ executable (console) x86-64, for MS Windows
[analyst@secOps ~]$

Tal como se ve arriba, W32.Nimda.Amm.exe realmente es un archivo ejecutable de Windows.

En el proceso del análisis de malware, ¿cuál sería un próximo paso probable para un analista especializado en seguridad?

El objetivo es identificar el tipo de malware y analizar su comportamiento. Por lo tanto, el archivo de malware debe moverse a un entorno controlado y ejecutarlo para observar su comportamiento. Los entornos de análisis de malware frecuentemente se basan en máquinas virtuales y están aislados para evitar daños a los sistemas que no son de prueba. Dichos entornos generalmente contienen herramientas que facilitan el monitoreo de la ejecución del malware; el uso de recursos, las conexiones de red y los cambios del sistema operativo son aspectos comunes monitoreados.

También hay algunas herramientas de análisis de malware basadas en Internet. VirusTotal (virustotal.com) es un ejemplo. Los analistas cargan malware en VirusTotal, que a su vez ejecuta el código malicioso. Después de la ejecución y una serie de otras comprobaciones, VirusTotal devuelve un informe al analista.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax