El análisis del tráfico de red del malware ayuda a los equipos de ciberseguridad a comprender su comportamiento, rastrear sus orígenes e identificar sus objetivos.
Al examinar estas conexiones, los analistas pueden identificar patrones maliciosos, descubrir comunicaciones con servidores de comando y control y comprender el alcance total de la amenaza.
Aquí hay cinco herramientas esenciales para el análisis del tráfico de red. Echemos un vistazo a cómo cada uno simplifica y mejora el proceso.
1. analizador de paquetes
Un analizador de paquetes, también conocido como “rastreador de paquetes”, es una herramienta que captura e inspecciona paquetes a medida que viajan por una red.
Esto le permite ver todos los datos enviados y recibidos de los sistemas infectados, lo que le permite comprender cómo el malware se comunica con los servidores de comando y control, filtra datos y se propaga dentro de su red.
Por ejemplo, rastrear paquetes salientes puede ayudar a identificar datos robados, como credenciales, cookies y otra información personal.
El sandbox de ANY.RUN proporciona una vista detallada del intercambio de datos de cada conexión en la ventana (Network Streams), lo que le permite analizar patrones de tráfico y contenido de paquetes.
Ventana de flujo de red que revela el intercambio de datos para cada conexión
Simplemente seleccione una conexión específica para acceder a datos de transmisión de red sin procesar. Los paquetes entrantes se resaltan en azul y los paquetes salientes se resaltan en verde, lo que facilita el seguimiento de los flujos de comunicación y la comprensión del comportamiento de la red del malware.
Análisis gratuito e ilimitado de phishing y malware con ANY.RUN: prueba gratuita de 14 días
2. Surikata IDS
Suricata es un sistema de detección de intrusiones (IDS) de código abierto que monitorea el tráfico de la red e incluye prevención de intrusiones, monitoreo de la seguridad de la red y capacidades de captura de paquetes.
Suricata analiza el tráfico de red en busca de patrones de ataque conocidos, señala actividades sospechosas y ayuda a identificar posibles comportamientos de malware en tiempo real.
Dentro de servicios como ANY.RUN, Suricata detecta amenazas potenciales analizando paquetes y flujos de datos según un conjunto de reglas, lo que le permite detectar rápidamente actividades sospechosas.
Esta herramienta proporciona valiosas alertas sobre conexiones o cargas útiles inusuales durante la ejecución de malware.
Regla Suricata activada en el sandbox ANY.RUN
3. Proxy MITM
Para los analistas de malware, descubrir el tráfico cifrado es fundamental para descubrir los métodos de los atacantes y las rutas de filtración de datos. Aquí es donde entran en juego los proxies MITM (man-in-the-middle).
Las herramientas de proxy MITM funcionan insertándose como intermediarios, lo que permite a los analistas capturar y descifrar el tráfico HTTPS entre el malware y sus servidores de comando y control (C2).
Esta herramienta protege las claves de descifrado necesarias para monitorear el tráfico en tiempo real interceptando solicitudes HTTPS. Este proceso hace que la información cifrada sea completamente legible y permite a los analistas investigar datos específicos recopilados o transmitidos por el malware, como direcciones IP, URL y credenciales robadas.
Por ejemplo, el entorno limitado de ANY.RUN utiliza la funcionalidad de proxy MITM para permitir a los usuarios ver el tráfico HTTPS descifrado dentro de una interfaz orquestada. Los analistas pueden hacer clic en los paquetes para ver detalles del flujo de comunicación o revisar las claves SSL para un análisis más detallado.
Este es un análisis de una muestra de malware XWorm que se conecta al bot de Telegram y extrae datos de los sistemas infectados.
Habilite el proxy MITM en la configuración de VM con un clic
El uso de un proxy MITM descifrará el tráfico entre su host y el bot de Telegram.
Token de bot y chat_id
Al examinar el encabezado de la solicitud GET de XWorm, se revela el token del bot de Telegram y el ID del chat que el atacante utilizó para recibir los datos robados. Estos componentes se pueden utilizar para interceptar otros datos extraídos por la muestra de todas las máquinas infectadas.
PCAP Extractor es una herramienta para capturar y almacenar datos de tráfico de red durante el análisis de malware. Los archivos PCAP (archivos de captura de paquetes) almacenan datos de red sin procesar, incluidos todos los paquetes enviados entre un sistema infectado y sus conexiones externas.
Al guardar estos datos en formato PCAP, esta herramienta permite a los analistas revisar y examinar los detalles a nivel de paquete sin conexión o utilizando software adicional.
En ANY.RUN, un extractor PCAP integrado recopila todo el tráfico de red de las sesiones de malware, incluidas las solicitudes HTTP, las consultas DNS y la comunicación con los servidores C2.
Descarga de datos PCAP dentro de ANY.RUN
5. Zona de pruebas de malware
Un entorno limitado de malware es un entorno virtual aislado diseñado para analizar de forma segura archivos maliciosos y observar su comportamiento sin poner en riesgo su sistema real.
Uno de los principales beneficios de los sandboxes es que algunos integran todas las herramientas necesarias para el análisis de malware en un solo lugar, como analizadores de paquetes, proxies MITM, IDS y extractores PCAP. Esto significa que no es necesario alternar entre diferentes herramientas para obtener una imagen completa del comportamiento del malware.
Análisis del tráfico de red de malware en ANY.RUN Sandbox
Por ejemplo, un entorno limitado de malware interactivo como ANY.RUN le permite ver todas las conexiones de red, solicitudes HTTP y DNS, y cómo se asocian con procesos específicos iniciados mientras se ejecuta el malware.
Esto proporciona una imagen completa de la amenaza y una comprensión de cómo interactúa cada componente, lo que mejora enormemente los esfuerzos de detección y respuesta.
Analice el tráfico de red de malware más rápido
Las herramientas mencionadas anteriormente son importantes para analizar el comportamiento del malware en la red y ayudar a descubrir cómo se comunica, se propaga y filtra datos.
Sin embargo, servicios como ANY.RUN Sandbox permiten que estas herramientas funcionen juntas, brindándole una imagen completa de cada proceso y el alcance total de la amenaza.
¿Listo para comenzar? Pruebe ANY.RUN Sandbox de forma gratuita durante 14 días y experimente el análisis interactivo de malware de primera mano.
