El análisis de malware es una tarea ardua y compleja. Para ello, es fundamental disponer de diversas herramientas que permitan procesar e interpretar grandes volúmenes de datos para simplificar el trabajo de análisis. Por suerte, a la hora de analizar tráfico de red en busca de actividad maliciosa existen muy buenas herramientas disponibles, como es el caso de Wireshark o NetworkMiner, que son muy conocidas y para las cuales hay disponible mucha documentación. Sin embargo, en esta oportunidad queremos presentar a Brim, una poderosa herramienta gratuita para el análisis de tráfico de red que fue lanzada a mediados del 2018 y que aún no goza de tanta popularidad.
Brim: una herramienta para analizar tráfico de red
Brim es una herramienta open source pensada para especialistas de seguridad en redes que facilita la búsqueda y el análisis de los datos a través de las siguientes fuentes:
- Capturas de tráfico de red creadas por Wireshark o TCPdump
- Registros estructurados, como los provenientes del framework Zeek
Esto es particularmente útil para quienes necesitan procesar grandes volúmenes de tráfico de red, especialmente aquellos que son engorrosas de analizar con Wireshark, tshark u otros analizadores de paquetes de datos.
Usando Brim junto con Wireshark (Fuente: Brimdata)
Entre las características más destacadas de esta herramienta podemos nombrar que cuenta con soporte multiplataforma (la aplicación es compatible con sistemas Windows, macOS y GNU/Linux), y que está desarrollada e integrada con otras herramientas open source cómo Zed, Zeek, Suricata [1][2] y el proyecto de reglas para IDS/IPS conocido como Emerging Threats.
Analizando la actividad de red del troyano Vidar con Brim
A fines prácticos, analizamos una traza de red capturada mientras se ejecutaba el malware Vidar en un equipo comprometido.
Nota: Es importante recordar que al analizar una captura de tráfico en la que haya evidencia o sospecha de la presencia de malware debemos utilizar un sistema aislado y dedicado para esto fines (en este caso es recomendable una máquina virtual en Linux, ya que el malware en cuestión afecta a sistemas Windows). La incorrecta manipulación de la captura de red y los archivos contenidos en esta puede derivar en el compromiso de nuestro propio equipo.
Características generales del malware que se analizará
El troyano Vidar es una versión mejorada del malware Arkei y está enfocado principalmente en el robo de información de los hosts comprometidos, las credenciales del navegador, el historial de exploración, cookies de sesión, realizar capturas de pantalla de la actividad del usuario víctima y robo de datos utilizados por soluciones de 2FA y billeteras de criptomonedas, entre otros. Una vez recolectada esta información, el malware la envía al servidor C2 controlado por los atacantes.
Su método de propagación o vector inicial es mayormente a través de campañas de malspam que contienen archivos adjuntos maliciosos y URL, o bien a través de keygens troyanizados que contienen el malware.
Paso 1: Abriendo la captura de tráfico de red mediante Brim
Paso 1
Paso 2: Utilizando las consultas que vienen por defecto en Brim
Si bien la herramienta posee un completo lenguaje de sintaxis de consultas, una de las funcionalidades más valoradas en Brim son las consultas que vienen configuradas por defecto en la GUI. Utilizar estas consultas es un excelente punto de partida a la hora de comenzar a indagar en el tráfico de red capturado.
Entre las tantas consultas disponibles, algunas de las más destacadas son :
- Alertas de Suricata (IDS), por categorías
- Alertas de Suricata (IDS), por origen y destino
- Resumen de las actividades
- Consultas DNS únicas
- Consultas HTTP
- Actividades de archivos
Paso 2
Paso 3: Descubriendo actividad maliciosa con Brim
Si seleccionamos la categoría de consultas de Suricata y ubicamos la denonimada “Suricata alerts by category“, verificamos que es posible encontrar rápidamente indicadores de actividad de malware y analizar los logs en busca de más detalles.
Paso 3
¿Fue fácil, cierto? 😉
Paso 4: Descubriendo la información exfiltrada por el malware
Luego, si seleccionamos la consulta “File activity”, podemos reconocer que hay un archivo llamado “b9a69c67-9046-4571-a9af-0f60a1fcee8d8375730518.zip”
Teniendo en cuenta las características de este malware, vemos que se trata de un archivo comprimido con la información del equipo, la cual fue exfiltrada por Vidar. Para averiguarlo, nos apoyamos en otra herramienta de análisis de tráfico de red como NetworkMiner:
Paso 4
Indicadores de compromiso de la muestra ejecutada en la captura de red
Troyano Vidar analizado en el pcap:
| Nombre de archivo |
|---|
| a2ef57bbe3a8af95196a419a7962bfaa.exe |
| Sha1 | Sha1 Detección |
|---|---|
| 1a0c42723cd1e2e947f904619de7fcea5ca4a183 | A Variant Of Win32/Kryptik.HMZJ |
Binarios descargados
| Sha256 | Ruta del archivo |
|---|---|
| a770ecba3b08bbabd0a567fc978e50615f8b346709f8eb3cfacf3faab24090ba | Ruta del archivo: C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\freebl3[1].dll |
| 3fe6b1c54b8cf28f571e0c5d6636b4069a8ab00b4f11dd842cfec00691d0c9cd | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\mozglue[1].dll |
| 334e69ac9367f708ce601a6f490ff227d6c20636da5222f148b25831d22e13d4 | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PO2HN1X2\msvcp140[1].dll |
| e2935b5b28550d47dc971f456d6961f20d1633b4892998750140e0eaa9ae9d78 | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\nss3[1].dll |
| 43536adef2ddcc811c28d35fa6ce3031029a2424ad393989db36169ff2995083 | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B6QGX7LP\softokn3[1].dll |
| c40bb03199a2054dabfc7a8e01d6098e91de7193619effbd0f142a7bf031c14d | C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6Z2BCOUL\vcruntime140[1].dll |
Consultas DNS
- r3.o.lencr.org
- mas.to
Conexiones IP
- 45.105.185
- 248.139.254
- 32.238.178
- 99.75.82
- 108.80.190
HTTP/HTTPS requests
- http:65.108.80[.]190/517
- http://65.108.80.190/freebl3[.]dll
- http://65.108.80.190/mozglue[.]dll
- http://65.108.80.190/msvcp140[.]dll
- http://65.108.80.190/softokn3[.]dll
- http://65.108.80.190/nss3[.]dll
- http://r3.o.lencr[.]org/MFMwUTBPME0wSzAJBgUrDgMCGgUABBRI2smg%2ByvTLU%2Fw3mjS9We3NfmzxAQUFC6zF7dYVsuuUAlA5h%2BvnYsUwsYCEgR7do%2BL7PzWWuh3sGFTAK0q9w%3D%3D
- http://65.108.80.190/vcruntime140[.]dll
- http://65.108.80[.]190/
