Cómo analizar tráfico de red con Brim en busca de actividad maliciosa

Brim es una herramienta de código abierto multiplataforma para el análisis de tráfico de red. A continuación, compartimos un caso práctico analizando la actividad maliciosa del troyano Vidar.

Brim es una herramienta de código abierto multiplataforma para el análisis de tráfico de red. A continuación, compartimos un caso práctico analizando la actividad maliciosa del troyano Vidar.

El análisis de malware es una tarea ardua y compleja. Para ello, es fundamental disponer de diversas herramientas que permitan procesar e interpretar grandes volúmenes de datos para simplificar el trabajo de análisis. Por suerte, a la hora de analizar tráfico de red en busca de actividad maliciosa existen muy buenas herramientas disponibles, como es el caso de Wireshark o NetworkMiner, que son muy conocidas y para las cuales hay disponible mucha documentación. Sin embargo, en esta oportunidad queremos presentar a Brim, una poderosa herramienta gratuita para el análisis de tráfico de red que fue lanzada a mediados del 2018 y que aún no goza de tanta popularidad.

Brim: una herramienta para analizar tráfico de red

Brim es una herramienta open source pensada para especialistas de seguridad en redes que facilita la búsqueda y el análisis de los datos a través de las siguientes fuentes:

  • Capturas de tráfico de red creadas por Wireshark o TCPdump
  • Registros estructurados, como los provenientes del framework Zeek

Esto es particularmente útil para quienes necesitan procesar grandes volúmenes de tráfico de red, especialmente aquellos que son engorrosas de analizar con Wireshark, tshark u otros analizadores de paquetes de datos.

Usando Brim junto con Wireshark (Fuente: Brimdata)

Entre las características más destacadas de esta herramienta podemos nombrar que cuenta con soporte multiplataforma (la aplicación es compatible con sistemas Windows, macOS y GNU/Linux), y que está desarrollada e integrada con otras herramientas open source cómo Zed, Zeek, Suricata [1][2] y el proyecto de reglas para IDS/IPS conocido como Emerging Threats.

Analizando la actividad de red del troyano Vidar con Brim

A fines prácticos, analizamos una traza de red capturada mientras se ejecutaba el malware Vidar en un equipo comprometido.

Nota: Es importante recordar que al analizar una captura de tráfico en la que haya evidencia o sospecha de la presencia de malware debemos utilizar un sistema aislado y dedicado para esto fines (en este caso es recomendable una máquina virtual en Linux, ya que el malware en cuestión afecta a sistemas Windows). La incorrecta manipulación de la captura de red y los archivos contenidos en esta puede derivar en el compromiso de nuestro propio equipo.

Características generales del malware que se analizará

El troyano Vidar es una versión mejorada del malware Arkei y está enfocado principalmente en el robo de información de los hosts comprometidos, las credenciales del navegador, el historial de exploración, cookies de sesión, realizar capturas de pantalla de la actividad del usuario víctima y robo de datos utilizados por soluciones de 2FA y billeteras de criptomonedas, entre otros. Una vez recolectada esta información, el malware la envía al servidor C2 controlado por los atacantes.

Su método de propagación o vector inicial es mayormente a través de campañas de malspam que contienen archivos adjuntos maliciosos y URL, o bien a través de keygens troyanizados que contienen el malware.

Paso 1: Abriendo la captura de tráfico de red mediante Brim

Paso 1

Paso 2: Utilizando las consultas que vienen por defecto en Brim

Si bien la herramienta posee un completo lenguaje de sintaxis de consultas, una de las funcionalidades más valoradas en Brim son las consultas que vienen configuradas por defecto en la GUI. Utilizar estas consultas es un excelente punto de partida a la hora de comenzar a indagar en el tráfico de red capturado.

Entre las tantas consultas disponibles, algunas de las más destacadas son :

  • Alertas de Suricata (IDS), por categorías
  • Alertas de Suricata (IDS), por origen y destino
  • Resumen de las actividades
  • Consultas DNS únicas
  • Consultas HTTP
  • Actividades de archivos

Paso 2

Paso 3: Descubriendo actividad maliciosa con Brim

Si seleccionamos la categoría de consultas de Suricata y ubicamos la denonimada “Suricata alerts by category“, verificamos que es posible encontrar rápidamente indicadores de actividad de malware y analizar los logs en busca de más detalles.

Paso 3

¿Fue fácil, cierto? 😉

Paso 4: Descubriendo la información exfiltrada por el malware

Luego, si seleccionamos la consulta “File activity”, podemos reconocer que hay un archivo llamado “b9a69c67-9046-4571-a9af-0f60a1fcee8d8375730518.zip”

Teniendo en cuenta las características de este malware, vemos que se trata de un archivo comprimido con la información del equipo, la cual fue exfiltrada por Vidar. Para averiguarlo, nos apoyamos en otra herramienta de análisis de tráfico de red como NetworkMiner:

Paso 4

Indicadores de compromiso de la muestra ejecutada en la captura de red

Troyano Vidar analizado en el pcap:

Nombre de archivo
a2ef57bbe3a8af95196a419a7962bfaa.exe

Sha1

Sha1 Detección
1a0c42723cd1e2e947f904619de7fcea5ca4a183A Variant Of Win32/Kryptik.HMZJ

Binarios descargados

Sha256Ruta del archivo
a770ecba3b08bbabd0a567fc978e50615f8b346709f8eb3cfacf3faab24090baRuta del archivo: C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\freebl3[1].dll
3fe6b1c54b8cf28f571e0c5d6636b4069a8ab00b4f11dd842cfec00691d0c9cdC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\mozglue[1].dll
334e69ac9367f708ce601a6f490ff227d6c20636da5222f148b25831d22e13d4C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PO2HN1X2\msvcp140[1].dll
e2935b5b28550d47dc971f456d6961f20d1633b4892998750140e0eaa9ae9d78C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\nss3[1].dll
43536adef2ddcc811c28d35fa6ce3031029a2424ad393989db36169ff2995083C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\softokn3[1].dll
c40bb03199a2054dabfc7a8e01d6098e91de7193619effbd0f142a7bf031c14dC:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\vcruntime140[1].dll

Consultas DNS

  • r3.o.lencr.org
  • mas.to

Conexiones IP

  • 45.105.185
  • 248.139.254
  • 32.238.178
  • 99.75.82
  • 108.80.190

HTTP/HTTPS requests

  • http:65.108.80[.]190/517
  • http://65.108.80.190/freebl3[.]dll
  • http://65.108.80.190/mozglue[.]dll
  • http://65.108.80.190/msvcp140[.]dll
  • http://65.108.80.190/softokn3[.]dll
  • http://65.108.80.190/nss3[.]dll
  • http://r3.o.lencr[.]org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgR7do%2BL7PzWWuh3sGFTAK0q9w%3D%3D
  • http://65.108.80.190/vcruntime140[.]dll
  • http://65.108.80[.]190/

Newsletter

Discusión