Analizar comportamiento de malware creando una red aislada.
|
Netsink es un demonio de red que permite enlazar cualquier numero de puertos IP y proporcionar servicios falsos, en un intento de convencer al malware que ejecuta un cliente, que tiene una conexión activa a Internet. De esta forma es posible estudiar las conexiones, que intenta realizar el cliente infectado con el malware al exterior y así poder analizar el comportamiento del malware. Creando una red aislada entre la maquina cliente y la maquina que ejecuta Netsink.
Para poder estudiar el comportamiento del malwer en una máquina cliente se le debe forzar el trafico de red para pasar por la maquina que ejecuta Netsink. Esto se puede lograr de dos maneras:
- Configuración estática de DNS, Netsink incluye un servidor DNS que se anunciará a sí mismo como el destino de cualquier solicitud de DNS del cliente. Para ello hay que cambiar la interfaz de red del cliente para utilizar el host Netsink como su servidor DNS. También hay que configurar en la interfaz del cliente el host Netsink, como puerta de enlace, para que todo el trafico circule por ahi.
- Configuración DHCP, si se instala en una plataforma Unix/Linux, es posible utilizar el paquete de servidor DHCP del sistema operativo (por ejemplo, isc-dhcp-server en ubuntu). De esta forma es posible montar un servidor DHCP, estableciendo como configuración para servir a los clientes, el host Netsink como la dirección la DNS y la puerta de enlace predeterminada. El siguiente paso sera configurar la maquina cliente infectada con el malware para que obtenga la dirección de red por DHCP.
De estas dos formas, la dirección del host Netsink debe aparecer como el servidor DNS en la interfaz de red aplicable. Así al abrir un navegador web en el cliente e ir a la dirección “http://www.google.com/”, en lugar del buscador Google, aparecerá la página de respuesta de Netsink y las solicitudes DNS/HTTP registradas en el servidor, donde se podrá investigar las conexiones de red del malware.
Los principales objetivos de Netsink son:
- Proporcionar los puntos finales de comunicación del malware y obtener el tráfico de red.
- Instalación directa, debe funcionar con una configuración mínima, para la mayoría de los escenarios.
- Fácil configuración y ampliación, gracias a la adición de servicios personalizados y el manejo de respuestas son lo más simples posible.
Las principales características de Netsink son:
- Redirección de DNS basada en un archivo de configuración simple.
- Servidor HTTP / HTTPS de archivos estáticos basados en expresiones.
- Imita sitios conocidos de búsqueda de direcciones IP externas (gracias a ipgetter para listas compilada).
- Servicio de IRC para capturar conexiones de conexión y canal, etc.
- Servidor SMTP/ESMTP incluyendo soporte AUTH y STARTTLS.
- Soporte de servidor FTP.
- Los rangos de puerto de escucha son fácilmente configurables y están separados por módulos que manejan el tráfico.
- Redirección automática de conexiones para plataformas que admiten iptables.
- Posee un receptor de puerto genérico que puede enviar trafico a otros módulos a través de inspección de paquetes.
Más información y descarga de Netsink:
https://github.com/shendo/netsink