Buenas a tod@s!
Hoy vamos a hablar de otra magnífica herramienta que hará de nuestros tediosos trabajos analizando una red, una tarea sencilla y cómoda.
Dicha herramienta se llama Xplico, y con ella podremos analizar la red gráficamente pasándole previamente una captura de red (Archivos .pcap).
Esta herramienta trabaja tanto por interfaz web como por consola, por lo que aparte de su buen diseño resulta ser bastante cómoda e intuitiva si elegimos utilizar la interfaz.
Además permite acceder con distintos usuarios, y dentro de cada usuario, podemos crear los distintos casos que necesitemos.
Instalación
Bien, para su instalación tenemos 2 opciones:
- Descargarse directamente una imagen de máquina virtual con Xplico ya instalado.
- Instalarlo manualmente en el sistema que queramos tenerlo.
Si optáis por la primera opción, ya sea por vaguería, o para simplemente probar la tool, podéis hacerlo desde aquí.
Si por el contrario optáis por la segunda opción, tan solo debemos realizar los siguientes pasos:
Ubuntu 32/64bit from 13.10 to 11.04:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start
Kali Linux:
apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev libmysqlclient15-dev
apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start
Por si tenéis algún tipo de problema al instalarla, echarle un vistazo a la wiki.
Ahora para empezar a trabajar con la tool abriremos nuestro navegador y entraremos en la siguiente dirección: "127.0.1.1:9876".
Uso
Bueno, vamos a ver como funciona la herramienta subiendo un archivo pcap ya creado, yo ejecutaré una muestra de un Fake Antivirus que infectaba con ZeroAccess.
Lo primero que tenemos que hacer es loguearnos en el panel, las claves que vienen por defecto las encontraréis aquí.
Una vez entremos procederemos a crear un nuevo caso:
Ya tenemos nuestro primer caso abierto, ahora procederemos a crear la primera sesión para nuestro caso y subiremos el pcap a analizar.
Para saber que nuestra caputra se ha subido, tendremos que fijarnos en la parte superior izquierda, donde pone "estado", que pasará de "EMPTY" a "DECODING COMPLETED" cuando finalice.
Ahora sólo nos queda ir viendo en cada apartado (cuadro lateral izquierdo) los datos capturados:
Os dejo con un link de una demo online de esta fantástica herramienta por si decidís echarla un vistazo.
Xplico Online: http://demo.xplico.org/users/login
Y por si queréis descargaros pcap´s de muestras de malware o exploit kit´s para probar la herramienta o simplemente juguetear como queráis, os dejo el siguiente link:
Saludos!!!
Referencias:
http://www.xplico.org/
http://highsec.es/2013/09/como-analizar-el-trafico-capturado-xplico/
http://seguridadyredes.wordpress.com/2011/05/17/analisis-de-trafico-de-red-usando-xplico-en-modo-consola/
http://seguridadyredes.wordpress.com/2010/06/09/xplico-analizando-e-interpretando-nuestras-capturas-pcap/
http://seguridadyredes.wordpress.com/2010/06/11/xplico-analizando-e-interpretando-nuestras-capturas-pcap-algunas-consideraciones/
**No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**
No hay comentarios:
Publicar un comentario