jueves, septiembre 27, 2012

Immunity Stalker: Analizando tráfico de red en la nube

Hace unos días me pasaron un usuario y contraseña del servicio de Immunity llamado Stalker que habían presentado en la Infiltratre 2012 - lo cual agradezco mucho - y he pasado un rato jugando con él. Para los que no hayáis oído hablar de él, la idea de la solución es poder automatizar el análisis de capturas de tráfico para buscar los datos importantes y mostrar en un panel de control toda la información descubierta.

Figura 1: Aspecto general de Immunity Stalker

Stalker analiza las capturas pcap a la perfección, así que para no andar hackeando a ningún vecino cercano, decidí hacer un poco de hacking con buscadores y buscar ficheros .pcap que la gente hubiera dejado publicados por Internet como pruebas de concepto, datos de prueba, etcétera. En esos ficheros a veces se cruzan datos que no debieran, como nos pasó a nosotros en un reto hacking, por lo que pensé que sería una buena forma de probar la solución.

Figura 2: Carga de datos en Stalker

La herramienta permite subir datos en diferentes formatos, y además los va analizando con procesos en paralelo, por lo que puedes seguir trabajando mientras se analizan los datos. Una vez terminado, cada nuevo host descubierto tendrá una representación en el panel lateral de la izquierda con el número total de paquetes en los que aparecía dicho equipo. A la derecha los datos analizados.

Figura 3: Analizando hosts con Stalker. Imágenes, enlaces y búsquedas en Google

Como se puede ver, el análisis busca información muy útil como los sitios DNS consultados, las conversaciones de Facebook, los usuarios y las contraseñas que se puedan descubrir, los ficheros transmitidos, o los mensajes de correo electrónicos que puedan extraerse.

Figura 4: Contraseñas descubiertas con Stalker

Evidentemente hay que tener en presente de que es un servicio online, así que si la captura es muy grande el tiempo de subida puede ser un handicap, pero una vez allí es muy cómodo obtener información jugosa.

Figura 5: Conexiones DNS, Beacons de WiFi y e-mails

Por supuesto, el análisis completo de un pcap puede necesitar una revisión manual para sacar todo el jugo que puedan ofrecer los datos que allí hay, pero hay que reconocer que la herramienta es una chulada. Mil gracias por la cuenta de demo.

Saludos Malignos!

3 comentarios:

  1. Mierda yo que tenía la idea de hacer un servicio online así... :(

    Muy chulo!

    ResponderEliminar
  2. Por si a alguien le sirve de algo hay una solución parecida open source para local llamada Xplico: http://www.xplico.org/

    saludos

    ResponderEliminar
  3. Y no hay manera de nosotros probarlo??

    ResponderEliminar