Una rama de la informática forense se encarga del estudio de las comunicaciones y redes, con el fin de lograr una captura de tráfico, registros y análisis de eventos de red para descubrir el origen de un incidente o ataque o ser utilizado luego como evidencia digital. Este análisis puede ser realizado en tiempo real o mediante el análisis de los archivos capturados (.caps). A partir de este estudio se pueden entender características de la red, quien está usándola, identificar picos de tráficos, actividad maliciosa, uso de protocolos inseguros o cualquier comportamiento anómalo.

En su primera versión, NetwokMiner se instauró como una de las herramientas más utilizadas para el sniffing y análisis de capturas en distintas entidades judiciales y CERT del mundo. En esta última versión, 2.0, agrega otras funcionalidades que veremos a lo largo del post.

Entendiendo el entorno

En muchas ocasiones y dependiendo del ambiente en que se realice la captura, se podrán plantear distintos escenarios; en ocasiones será necesario utilizar dispositivos que posean Port Mirroring o SPAN (en plataformas Cisco), generando un ARP poisoning o utilizando un TAP de red.

Si eres usuario de Microsoft Windows puedes bajarte la nueva versión desde este enlace y es probable que te pida, en caso de que no lo tengas, instalar “.NET Framework 3.5”. Esta aplicación también puede ejecutarse en Linux, Mac OS X y FreeBSD.

Ejecutándolo por primera vez

Una vez seleccionada la interfaz que vamos a utilizar para la captura, solo resta hacerle clic al botón de “Start” y se comenzará a capturar tráfico. Al analizar una pequeña captura ya podremos localizar muchos datos, como advertimos en la siguiente imagen:

network miner

Al consultar la etiqueta DNS podremos observar las peticiones que se han realizado sobre la red, lo cual puede ser muy útil para el análisis de malware, como por ejemplo en la detección de paneles de control estando en presencia de un bot.network miner trafico

Sin embargo, si se analizan los archivos PCAP que pueden contener malware, desde la página del autor recomiendan llevar a cabo el análisis sobre algún otro sistema operativo que no sea en el que se ejecuta el malware, es decir, mayormente en plataformas Linux.

En la solapa de anomalías se podrá encontrar información muy valiosa que puede ayudar al analista a deducir rápidamente de qué forma sucedió un determinado incidente. Como en la imagen inferior, la aplicación alerta sobre un posible ARP Spoofing:

arp spoofing

Esta versión también permite encontrar dentro de la solapa parámetros información referida a métodos de petición HTTP, códigos de estado HTTP de respuesta, cabeceras HTTP y SMB (recursos compartidos). Esto podría darnos indicios de una fuga de información o inclusive de algún código malicioso como el ransomware que esté cifrando recursos compartidos.

network miner parametros

Conclusión

En determinadas ocasiones, los analistas de red se encuentran con un problema de capturas de gran tamaño, lo cual hace muy compleja la tarea de visualizar de forma clara todos los parámetros. Esta herramienta resulta particularmente útil y ágil debido a que el uso de columnas ordena toda la información. Tanto parámetros y DNS como mensajes y sesiones pueden visualizarse fácilmente. De este modo, esta herramienta se presenta como una excelente opción a otras aplicaciones como Wireshark, Bro o Xplico.