¿Configurar un sistema para capturar / capturar tráfico saliente desde una PC con Windows? [cerrado]

Question

¿Configurar un sistema para capturar / capturar tráfico saliente desde una PC con Windows? [cerrado]

#1 de Hugo (0 votos)
#2 de symcbean (0 votos)

5

¿Alguien sabe de un programa / sistema diseñado específicamente para permitirte un sandbox / contener una conexión de salida desde una PC con Windows? El objetivo es que pueda analizar los datos que se envían a través de la conexión, sin dejar que los datos vayan a un dispositivo / sistema que no esté bajo su control.

Lo mejor que se me ocurre es:

Configure un servidor con la IP correspondiente y configúrelo para que acepte conexiones para el (los) protocolo (s) y puerto (s).
Enrutar estáticamente el tráfico para la conexión de salida a dicho dispositivo (ya sea en la tabla de enrutamiento de la PC cliente o en el dispositivo de la puerta de enlace predeterminada).
Configure Wireshark en un extremo (o en ambos extremos) y capture el tráfico y luego analice ...

Obviamente lo anterior es:

No es terriblemente conveniente o rápido de configurar cada vez.
No proporciona la imagen completa, ya que cualquier dispositivo que configure para enmascararse como la misma IP / Puerto probablemente no se comportará de la misma manera que el dispositivo de punto final real. (es decir, no sé para qué está configurado el otro dispositivo si es un servidor de comando y control que envía las instrucciones, etc.).

¿Cómo comprueban esto las personas en el laboratorio? ¿Acaban de configurar un entorno de entorno aislado que no contiene datos confidenciales y dejan que la conexión vaya al punto final genuino y monitoreen el tráfico bidireccional?

network

pregunta Chris 02.10.2015 - 04:34

fuente

2 respuestas

Lea otras preguntas en las etiquetas network

¿Por qué no usar cifrado simétrico? ¿Qué está deteniendo a DANE? [cerrado]

score 0 · Answer 1

Si se trata de un análisis de malware, usted desea que una máquina virtual sea el sujeto analizado que reenvíe el tráfico a otra que sea un proxy. Allí, en el proxy, puede decidir qué pasa y qué queda y redireccionar los paquetes si desea compilar previamente las respuestas para engañar al malware. (servidor cc falso) cuando sea posible :)

Para eso suelo usar estaciones de trabajo vmware Laboratorio con 1 interfaz de red conectada a la red A en VMware Proxy con 2 conexiones de red, una en la Red A y otra Nada o puenteada con otra interfaz física.

Si deseas tener algo que maneje todo esto por ti, puedes realizar una búsqueda completamente automática de cuckoo sandbox :)

score 0 · Answer 2

analice los datos que se envían a través de la conexión, sin permitir que los datos vayan a un dispositivo / sistema que no esté bajo su control.

En varios niveles de abstracción, los datos solo se enviarán cuando se produzca una negociación; no se intentará establecer una conexión hasta que se resuelva el DNS, no habrá transmisión de TCP hasta que se complete el protocolo TCP, no se solicite HTTP a través de TLS hasta el protocolo SSL completa, y luego están los detalles de la aplicación además de eso). Entonces, a menos que falsifique las respuestas a todos los protocolos posibles que usará el sujeto, o permita que el tráfico fluya libremente, no verá ningún dato útil.

(Desde la memoria, creo que puede ver datos no cifrados entre una aplicación y winsock en las máquinas de MSWindows, y hay herramientas disponibles para interceptar este intercambio en la PC)

Enrutar estáticamente el tráfico

.... cubrirá el caso en el que el malware intenta comunicarse con una C & C, pero no verá lo que está haciendo en su red local. Configuraría el dispositivo de captura como la ruta predeterminada, pero ejecutaría la PC en su propia red secundaria / física junto con el dispositivo de captura.

Más allá de eso ..... Wirehark.