Taggat med: Netresec

Framtiden inom nätverksforensik

nätverksforensik

Jag var intresserad av hur framtiden inom nätverksforensik ser ut nu när allt mer av vår vardagliga kommunikation på internet är krypterad. Så därför kontaktade jag Erik Hjelmvik som driver företaget Netresec samt utvecklar den populära mjukvaran Network Miner. Erik är en av Sveriges främsta specialister inom nätverksforensik och en av de som jag känner som troligtvis kan besvara frågan bäst.

Så här skriver Erik om framtiden gällande nätverksforensik och de utmaningar som området står inför:

Erik Hjelmvik”Användningen av HTTPS har ökat dramatiskt under de senaste fyra åren. En orsak till den ökade SSL-användningen är att man nu kan få gratis SSL-certifikat genom initiativ som t.ex. Let’s Encrypt, men jag tror även att Snowdens avslöjanden har gjort att intresset för krypterad  kommunikation har ökat märkbart. Den ökade användningen av SSL gör dock att det blir allt svårare att genomföra nätverksforensik eftersom innehållet i kommunikationen nu ofta är krypterad.

Som forensiker är det därför viktigt att ta vara på den information som går, även när trafiken är krypterad. Jag har exempelvis byggt in stöd i NetworkMiner för att extrahera X.509-certifikat från nätverkstrafik, vilket gör det lättare att hitta felaktiga och ogiltiga certifikat som används av botnät och annan skadlig kod för att kryptera sin kommunikation. Ett annat exempel på trafik som använder sig av ogiltiga certifikat är Tor, vilket använder sig av en SSL-handskakning för att sätta upp sin krypterade förbindelse.

Fingeravtryck i nätverkstrafik

En annan utmaning är att den tillgängliga bandbredden ökar, och därmed även datamängden som en forensiker behöver analysera. Utmaningen blir med andra ord en variant av att hitta nålen i höstacken, där höstacken utgörs av inspelad nätverkstrafik. Som forensiker kan man använda sig av exempelvis ”Rinse-Repeat Threat Hunting” för att minimera höstacken. Det kan också vara bra att ta ett steg tillbaka och börja analysen med att titta på flow-data, som vilka IP-adresser som pratar med vilka, innan man börjar analysera innehållet i trafiken.

För att kunna göra det effektivt krävs det dock att flow-vyn är berikad med information om exempelvis domännamn och WHOIS-information om IP-adresser, vilket jag tagit fasta på i verktyget CapLoader. Styrkan med CapLoader ligger dock framför allt i att kunna gå från flow-analys till att analysera trafiken på paketnivå med bara ett klick. De flesta flow-verktygen saknar dock denna förmåga, vilket gör att forensiker ofta tittar på antingen flow-data eller på paketdata istället för att kombinera båda teknikerna till ett mer effektivt arbetsflöde”

Test av NetworkMiner 2.0

NetworkMiner 2.0NetworkMiner är precis som det låter en produkt för att undersöka nätverkstrafik. Mjukvaran är utvecklad av det svenska företaget Netresec och har funnits sedan 2007.

Denna nya version har följande funktioner:

  • SMB/CIFS stödjer nu att extrahera filer från SMB-skrivningar
  • Stöd för SMB2-protkollet
  • Yttarligare IEC-104 kommandon implementerade
  • Modbus/TCP hantering
  • Förbättrat stöd i SMTP, DNS och FTP
  • GUI förbättrat vid inläsning av PCAP-filer eller live-läsningar
  • Favicon-bilder extraheras nu ur nätverkstrafik
  • Stöd för att söka med nyckelord under flertalet tabbar

Under testet så laddade jag in en PCAP-fil från 4SICS-konferensen. Filen var på 134 MB och tog cirka 15 minuter att ladda in.

NetworkMiner ser ut att läsa ut filer, sessioner och all annan information som kan vara relevant för en nätverkforensisk undersökning. Mjukvaran finns även i en betalversion som kostar cirka 7600 SEK och inkluderar då geoip, csv export, os fingerprinting och ett kommandogränssnitt.

Vad är då största skillnaden mellan NetworkMiner och Wireshark? NetworkMiner klarar att extrahera ur filer ur en större mängd nätverksprotokoll även om Wireshark stödjer att tolka fler protokoll.

Här kan du ladda hem gratisversionen av NetworkMiner:

Skärmdumpar:

NetworkMiner NetworkMiner

PCAP – Or it didn’t happend

Jag fick denna T-shirt av Erik på Netresec som bl.a. gör Network Miner och CapLoader. Du kan köpa den direkt från Netresec eller under konferensen 4SICS som går av stapeln imorgon.

PCAP or it didn't happend

Och vad menas med texten som står på t-shirten kanske du undrar? Jo, det är så att PCAP står för packet capture och är ett filformat för inspelad nätverkstrafik. För oss som jobbar med IT-säkerhet så är inspelad nätverkstrafik A och O när det gäller IT-forensiska undersökningar och analys av skadlig kod exempelvis.

Du kan läsa mer om inspelning av nätverkstrafik här.

NetworkMiner ute i version 1.6

NetworkMinerSvenskutvecklade NetworkMiner som är ett utmärkt verktyg vid nätverksforensik och analys av skadlig kod finns nu ute i en ny version.

NetworkMiner finns även som betalversion som då kommer med ett antal intressanta funktioner såsom automatisk protokollidentifiering: Port Independent Protocol Identification (PIPI) samt en kommandoradsklient (CLI).

Nytt i denna version är bl.a. PCAP över IP som gör att du kan starta tcpdump på en annan klient och sedan skicka sniffad data över nätverket till NetworkMiner för vidare analys som kör avkodning och utkarvning av filer från nätverkspaket.

Även så fungerar ”drag och släpp” direkt från NetworkMiner till ditt favoritprogram.

Pcap-over-IP

Fungerar även att skicka över SSL med följande kommando från Linux:

$ tcpdump -i eth0 -s 0 -U -w - | openssl s_client -connect 1.2.3.4:57012

Här kan mer information hittas: