VirusTotal przeanalizuje zapisy ruchu sieciowego

VirusTotal to popularny serwis internetowy, umożliwiający przeskanowanie niemal dowolnych zbiorów pod kątem obecności złośliwego oprogramowania. Warto wiedzieć, że VT został właśnie wyposażony w nową, bardzo interesującą funkcjonalność.

VirusTotal jest w stanie przeskanować (z jednoczesnym wykorzystaniem kilkudziesięciu najpopularniejszych rozwiązań antywirusowych) pliki o rozmiarze do 64 MB. Takie podejście zapewnia nam znacznie pełniejszy obraz sytuacji i pozwala na łatwiejsze wychwycenie wykryć fałszywych (ang. false positive) oraz najnowszych zagrożeń nie znanych jeszcze naszemu antywirusowi.

VT wspiera również wykrywanie złośliwych stron internetowych, poprzez wykorzystanie kilkudziesięciu serwisów skanujących oraz zbierających informacje o reputacji witryn. Teraz przyszedł natomiast czas na analizę plików ze zrzutami ruchu sieciowego.

Pliki w formacie PCAP (ang. packet capture) zawierają dane stanowiące zapis ruchu sieciowego powstały zazwyczaj z wykorzystaniem sniffera sieciowego rejestrującego każdą aktywność sieciową na wybranym interfejsie sieciowym. Tego typu zbiory są często wykorzystywane przy rozwiązywaniu problemów sieciowych, ale również mogą być pomocne przy obserwowaniu lub wykrywaniu aktywności złośliwego oprogramowania oraz rozmaitych ataków.

VirusTotal po załadowaniu pliku PCAP przeprowadzi dla nas następującą analizę:

• przeprocesuje zapis ruchu z wykorzystaniem popularnych sieciowych systemów IDS Snort oraz Suricata i wyświetli wszystkie potencjalne alerty,
• wyłuska metadane związane z zapisanymi transmisjami,
• wyświetli szczegóły dla wszystkich ujętych w pliku żądań DNS i HTTP,
• wydobędzie transmitowane pliki i automatycznie sprawdzi je pod kątem obecności złośliwego kodu.

Przykładowy wynik analizy nie pozostawia wątpliwości, że tego typu automatyczna analiza zapisu ruchu sieciowego może w znacznym stopniu pomóc nam w wyłapaniu niechcianej aktywności w naszej sieci. Zanim jednak zaczniecie ochoczo testować nową funkcję VT, słowo ostrzeżenia.

VirusTotal (przy okazji dodam, że obecnym właścicielem VT jest Google) gromadzi oraz analizuje wszystkie przesłane informacje. Co więcej, wszystkie wyniki są udostępniane producentom rozwiązań ochronnych oraz innym użytkownikom usługi. Dlatego też, korzystając z wszelkich tego typu usług zachowajmy szczególną ostrożność.

Zapisy ruchu sieciowego mogą potencjalnie zawierać wiele poufnych informacji. Począwszy od adresów IP, a skończywszy na hasłach do usług sieciowych oraz rozmaitych danych aplikacyjnych. Przed wysłaniem własnych zrzutów należy więc poważnie się zastanowić. O ile np. zmodyfikowanie zapisanych w pliku PCAP adresów IP można dość łatwo osiągnąć np. za pomocą programu tcprewrite:

tcprewrite -C -S (prawdziwy_zakres)/16:10.0.0.0/16 -D (prawdziwy_zakres)/16:10.0.0.0/16 -i input.pcap -o output.pcap

o tyle usunięcie innych danych (np. z warstwy aplikacji) będzie już o wiele bardziej kłopotliwe…

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)