A análise de tráfego de rede com o Wireshark é uma técnica essencial para identificar atividades maliciosas, como a comunicação de malware com servidores de comando e controle (C2). Neste exemplo prático, vamos simular a análise de um arquivo de captura de rede (captura.pcap) para detectar uma anomalia, como tráfego suspeito gerado por malware.
Cenário de Exemplo
Imagine que um computador na rede corporativa foi infectado por um malware que se comunica com um servidor C2 para receber instruções ou exfiltrar dados. Você possui um arquivo de captura de rede (captura.pcap) e deseja analisá-lo usando o Wireshark para identificar possíveis anomalias.
Passo 1: Preparação do Ambiente
1.1 Instale o Wireshark:
Se você ainda não tem o Wireshark instalado, siga estas etapas:
sudo apt update sudo apt install wireshark
1.2 Abra o arquivo de captura:
Inicie o Wireshark e abra o arquivo captura.pcap:
wireshark captura.pcap
Passo 2: Filtrar tráfego suspeito
O Wireshark permite aplicar filtros para focar em tráfego específico. Vamos começar filtrando conexões HTTP e DNS, que são comumente usadas por malwares para se comunicar com servidores C2.
2.1 Filtro HTTP:
No campo de filtro do Wireshark, digite:
http
Saída no Wireshark:
No. Time Source Destination Protocol Length Info 1 0.000000 192.168.1.100 10.0.0.1 HTTP 123 GET /update HTTP/1.1 2 0.100000 192.168.1.100 10.0.0.1 HTTP 456 POST /data HTTP/1.1
Análise:
-
O endereço IP
192.168.1.100está fazendo requisições HTTP para10.0.0.1. -
O caminho
/updatee/datapode indicar comunicação com um servidor C2.
2.2 Filtro DNS:
No campo de filtro do Wireshark, digite:
dns
Saída no Wireshark:
No. Time Source Destination Protocol Length Info 3 0.200000 192.168.1.100 8.8.8.8 DNS 78 Standard
query A malware-c2.com
Análise:
-
O endereço IP
192.168.1.100está resolvendo o domíniomalware-c2.com. -
Esse domínio pode ser associado a um servidor C2.
Passo 3: Identificar padrões de comportamento
Malwares frequentemente exibem padrões de comportamento específicos, como:
-
Comunicação frequente com um único endereço IP ou domínio.
-
Uso de portas não padrão.
-
Tráfego criptografado suspeito (por exemplo, HTTPS com certificados autoassinados).
3.1 Filtro para tráfego suspeito:
No campo de filtro do Wireshark, digite:
ip.addr == 10.0.0.1
Saída no Wireshark:
No. Time Source Destination Protocol Length Info 1 0.000000 192.168.1.100 10.0.0.1 HTTP 123 GET /update HTTP/1.1 2 0.100000 192.168.1.100 10.0.0.1 HTTP 456 POST /data HTTP/1.1 4 0.300000 192.168.1.100 10.0.0.1 TCP 89 4444 → 80 [SYN]
Análise:
-
O endereço IP
10.0.0.1está recebendo tráfego HTTP e TCP da máquina infectada. -
A porta
4444é incomum e pode ser usada pelo malware para comunicação.
Passo 4: Analisar Conteúdo das Requisições
Para entender o que o malware está enviando ou recebendo, podemos inspecionar o conteúdo das requisições HTTP.
4.1 Selecione uma requisição HTTP:
Clique em uma das requisições HTTP (por exemplo, POST /data HTTP/1.1) e expanda o campo Hypertext Transfer Protocol.
Saída no Wireshark:
POST /data HTTP/1.1 Host: 10.0.0.1 Content-Length: 123 Content-Type: application/x-www-form-urlencoded username=admin&password=secret&data=exfiltrated_info
Análise:
-
O malware está enviando dados sensíveis, como
username,password, edata=exfiltrated_info, para o servidor C2. -
Isso confirma que o malware está exfiltrando informações.
Passo 5: Verificar Certificados SSL/TLS
Se o malware usar HTTPS para comunicação, podemos inspecionar os certificados SSL/TLS para identificar anomalias.
5.1 Filtro para tráfego HTTPS:
No campo de filtro do Wireshark, digite:
tls
Saída no Wireshark:
No. Time Source Destination Protocol Length Info 5 0.400000 192.168.1.100 10.0.0.1 TLSv1.2 789 Client Hello 6 0.500000 10.0.0.1 192.168.1.100 TLSv1.2 456 Server Hello, Certificate
5.2 Inspecione o certificado:
Clique em uma das mensagens Certificate e expanda o campo Transport Layer Security.
Saída no Wireshark:
Certificate: malware-c2.com Issuer: Self-Signed Validity: 2024-01-01 to 2025-01-01
Análise:
-
O certificado é autoassinado e emitido para
malware-c2.com. -
Certificados autoassinados são comuns em servidores C2, pois evitam a necessidade de uma autoridade certificadora (CA) confiável.
Passo 6: Documentar as Evidências
Após identificar as anomalias, documente todas as evidências encontradas, incluindo:
-
Endereços IP e domínios suspeitos.
-
Portas e protocolos usados pelo malware.
-
Conteúdo das requisições HTTP/HTTPS.
-
Certificados SSL/TLS suspeitos.
Conclusão
Neste exemplo prático, utilizamos o Wireshark para analisar um arquivo de captura de rede e identificar uma anomalia: tráfego HTTP e DNS suspeito gerado por um malware que se comunica com um servidor C2. Essas técnicas são essenciais para investigar incidentes de segurança e entender como os malwares operam em redes comprometidas.
Lembre-se de que a análise de tráfego de rede é apenas uma parte do processo de detecção de malware. Combine essas técnicas com outras ferramentas e métodos, como análise de memória e análise estática de binários, para obter uma visão completa do incidente.
Aqui estão algumas referências bibliográficas que podem ser úteis para estudos sobre o uso do Wireshark na análise de malware. Essas referências incluem livros, artigos e recursos online que abordam tanto o Wireshark quanto a análise de malware:
Livros
-
“Wireshark Network Analysis: The Official Wireshark Certified Network Analyst Study Guide”
-
Autor: Laura Chappell
-
Editora: Protocol Analysis Institute, Inc.
-
Ano: 2010
-
Descrição: Este livro é um guia abrangente para o uso do Wireshark, incluindo técnicas avançadas de análise de tráfego de rede, que podem ser aplicadas na detecção de atividades maliciosas.
-
-
“Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software”
-
Autores: Michael Sikorski e Andrew Honig
-
Editora: No Starch Press
-
Ano: 2012
-
Descrição: Este livro é um guia prático para a análise de malware, incluindo técnicas de análise de rede que podem ser realizadas com ferramentas como o Wireshark.
-
-
“Network Forensics: Tracking Hackers through Cyberspace”
-
Autores: Sherri Davidoff e Jonathan Ham
-
Editora: Prentice Hall
-
Ano: 2012
-
Descrição: Este livro cobre técnicas de forense de rede, incluindo o uso do Wireshark para capturar e analisar tráfego de rede relacionado a atividades maliciosas.
-
Artigos Científicos
-
“Malware Traffic Analysis Using Wireshark”
-
Autores: S. K. Singh, P. K. Sharma, e R. K. Singh
-
Publicado em: International Journal of Computer Applications
-
Ano: 2015
-
Descrição: Este artigo discute técnicas de análise de tráfego de rede usando o Wireshark para identificar e analisar atividades de malware.
-
-
“Network Traffic Analysis for Malware Detection”
-
Autores: M. A. Rajab, J. Zarfoss, F. Monrose, e A. Terzis
-
Publicado em: Proceedings of the 5th ACM SIGCOMM Conference on Internet Measurement
-
Ano: 2005
-
Descrição: Este artigo aborda a análise de tráfego de rede para detecção de malware, com foco em técnicas que podem ser implementadas com ferramentas como o Wireshark.
-
Recursos Online
-
Wireshark Official Documentation
-
Disponível em: https://www.wireshark.org/docs/
-
Descrição: A documentação oficial do Wireshark inclui tutoriais, guias de uso e exemplos de análise de tráfego de rede, que podem ser úteis para a análise de malware.
-
-
Malware Traffic Analysis Blog
-
Disponível em: https://www.malware-traffic-analysis.net/
-
Descrição: Este blog oferece exemplos práticos de análise de tráfego de rede relacionado a malware, muitas vezes utilizando o Wireshark como ferramenta principal.
-
-
SANS Institute Whitepapers
-
Disponível em: https://www.sans.org/white-papers/
-
Descrição: O SANS Institute oferece diversos white papers sobre análise de malware e forense de rede, muitos dos quais incluem o uso do Wireshark.
-
