Análisis Dinámico de Tráfico de Red con WildShark

Clase 14 de 18Curso de Introducción al Análisis de Malware

Clase anteriorSiguiente clase

Resumen

¿Cómo realizar un análisis dinámico de tráfico de red malicioso con WildShark?

Iniciar tu trayectoria en el análisis de tráfico de red malicioso requiere un conocimiento práctico de las herramientas adecuadas. Una de las más poderosas y accesibles es WildShark, un programa diseñado para desnifiar y capturar tráfico de red. Este artículo explora el proceso para realizar un análisis dinámico de tráfico malicioso usando WildShark en un entorno virtual.

¿Cómo preparar tu entorno para el análisis dinámico?

Antes de sumergirte en el análisis, asegúrate de que WildShark esté correctamente instalado en tu máquina virtual. Esto es crucial para prevenir la captura de tráfico no relevante de tu red externa:

  1. Instalación de WildShark: Descarga WildShark desde el enlace proporcionado, asegúrate de hacerlo dentro de tu máquina virtual.
  2. Preparación de tu archivo ejecutable: Guarda el archivo a analizar con una extensión diferente, por ejemplo, coi.etc, para facilitar su ejecución y la posterior captura de tráfico resultante.

¿Cómo capturar tráfico usando WildShark?

El papel central de WildShark es capturar y visualizar el tráfico de red que pueda indicar actividad maliciosa.

  1. Ejecución con permisos de administrador: Inicia WildShark como administrador para permitir el acceso total a la red:

    • Haz clic derecho sobre el icono de WildShark y selecciona "Ejecutar como administrador".
    • Observa el icono azul de tiburón que representa el inicio de la captura de paquetes.

  2. Ejecución del archivo: Ejecuta el archivo coi.etc:

    • Navega a la carpeta donde se encuentra el archivo.
    • Haz doble clic para iniciar y observa cómo WildShark comienza a capturar tráfico.

  3. Monitoreo de tráfico: Deja que pase algún tiempo para que el archivo realice posibles acciones maliciosas.

¿Cómo analizar las capturas de WildShark?

Una vez que hayas detenido la captura, toca la fase de análisis para identificar cualquier actividad sospechosa.

  1. Parar la captura: Una vez recopilada suficiente información, detén la captura utilizando el botón rojo en WildShark.

  2. Navegación por estadísticas:

    • Accede a visualización > estadísticas > conversaciones para inspeccionar las diferentes IPs involucradas.
    • Fíjate en la cantidad de bytes enviados, la duración de las conexiones y otros patrones que podrían ser indicadores de anomalies.

  3. Uso de filtros: Aplica filtros para afinar tu análisis:

    • Utiliza el filtro TCP para ver conexiones relacionadas con este protocolo.
    • Compara con tu análisis estático previo para buscar intentos de conexiones TCP.

¿Qué aspectos considerar en el análisis de tráfico?

El análisis dinámico no se limita a la captura de tráfico; involucra un entendimiento detallado de los protocolos de red:

  • Conocimiento técnico: Familiarízate con los protocolos de red y las fases de una sesión TCP/IP, esto te permitirá una interpretación más precisa de los datos recopilados.

  • Herramientas adicionales: Aunque WildShark es una herramienta eficaz, considera complementar tu análisis con otras herramientas para una evaluación más integral.

La ejecución y análisis dinámico de software malicioso es un componente esencial en la formación de un analista de malware. Este pequeño ejemplo te ha introducido a los fundamentos, pero el camino continua con técnicas más avanzadas y variados instrumentos de análisis. ¡Sigue tu aprendizaje y perfecciona tus habilidades en ciberseguridad!