Анализ трафика с помощью сканера ZUI (Zed User Interface)

Для ана­лиза сетево­го тра­фика обычно используют Wireshark. У популярного сниффера множество достоинств, среди которых: настраиваемые филь­тры, отличный интерфейс, и подробная докумен­тация. Но у Wireshark есть один большой недостаток — мед­ленная работа при ана­лизе боль­ших дам­пов. Далее рассмотрим неплохую альтернативу для анализа трафика, которая называется ZUI и лишена этого недостатка.

Еще по теме: Перехват Bluetooth с помощью сниффера BrakTooth на ESP32

Анализ трафика при помощи ZUI

Сколь­ко вре­мени было пот­рачено на ожи­дание, пока Wireshark отоб­разит (если вооб­ще отоб­разит) спи­сок вхож­дений пос­ле филь­тра­ции при ана­лизе боль­шого фай­ла PCAP. Для мно­гих это ста­нови­лось нас­тоящим испы­тани­ем. Но теперь у нас есть ZUI, который замет­но упростит вашу работу.

Что такое ZUI

ZUI — Zed User Interface (бывший Brim), написан с помощью Electron и React. Работает на движе ZED, который написан на Go и сос­тоит различных эле­мен­тов:

Основные отли­чия ZUI от Wireshark — это ско­рость работы, под­дер­жка сиг­натур и ана­лиз логов. Из недостатков: не умеет декоди­ровать пакеты и экспор­тировать най­ден­ные в тра­фике фай­лы. Это на самом деле не большие минусы, потому что каждый най­ден­ный поток дан­ных в ZUI можно откры­ть простым кликом по кноп­ке в Wireshark, где отоб­ража­ется вся недос­тающая информа­ция.

Из­началь­но ZUI называл­ся Brim специализацией которого был исклю­читель­но ана­лиз сетево­го тра­фика и логов. Но из‑за уни­вер­саль­нос­ти движ­ка ZED он стал раз­вивать­ся и в дру­гих нап­равле­ниях, в частности в сто­рону ана­лити­ки дан­ных.

Идея двигла ZED, который поз­воля­ет ZUI работать с фай­лами PCAP в разы быс­трее Wireshark, сос­тоит в том, что­бы изба­вить­ся от кон­цепции таб­лиц из базовой модели дан­ных. Таблицы замени­ли сов­ремен­ной сис­темой типов, при которой все зна­чения могут иметь свой тип незави­симо от сос­тавной схе­мы. Получа­ется, Zed User Interface — и не полус­трук­туриро­ван­ный, и не таб­личный. Разработчики называ­ют данную кон­цепцию суперс­трук­туриро­ван­ной.

Для при­мера можно взять фор­мат из Zed data model под наз­вани­ем ZSON. Это при­выч­ный для всех JSON с собс­твен­ными типами зна­чений. Этого будет достаточно, что­бы начать исполь­зовать ZUI в анализе тра­фика.

Установка ZUI на Windows Linux и macOS

Установка ZUI на Linux

Для уста­нов­ки ZUI на Linux выполните коман­ды:

Не забудьте изменить вер­сию в коман­де, что­бы установить самый последний релиз.

Установка ZUI на Windows и macOS

Для Windows и macOS дос­таточ­но ска­чать с офи­циаль­ного страницы файл установки и с предвкушением запус­тить его.

Интерфейс Zed User Interface

Сна­чала взглянем на минима­лис­тичный интерфейс и заценим его фун­кци­она­льность. Приложение всеядно, ему можно подсунуть файлы JSON, CSV, ZSON, ZNG и т.д., но нас инте­рес­ует файл PCAP или какой-нибудь струк­туриро­ван­ный лог, нап­ример Zeek log.

После открытия файла PCAP в ZUI, он сразу же будет проверен с помощью движ­ков Zeek и Suricata, а пос­ле этого буду отоб­ражены все хеши с VirusTotal. Прикольно да?

Pool — это мес­то, где находится пре­обра­зован­ный PCAP. Можно заг­рузить сра­зу нес­коль­ко фай­лов в один pool, и все дан­ные из них будут дос­тупны в единой стро­ке поис­ка. На тай­млай­не можно будет выб­рать диапа­зон вре­мени, который тре­бует­ся изу­чить в данный момент.

Особенно инте­рес­на, на мой взгляд, функция отображения неболь­шой диаг­рам­мы вза­имо­дей­ствия двух хос­тов. Она выводится, если открыть лог с зеленым тегом conn. Так­же довольно полез­на кноп­ка откры­тия потока дан­ных в Wireshark.

Использование ZUI

Писать зап­росы с помощью ZQL query очень легко. Нужно только най­ти в логах необходимые поля и отфиль­тро­вать по ним логи. Посл чего стро­ка зап­роса будет обрастать новыми и новыми усло­виями поис­ка. Лич­но я часто забываю, как с помощью фильтров Wireshark найти ту или иную информа­цию.

Я под­готовил для вас при­меры зап­росов поис­ка, которые пок­роют основные юзкей­сы при работе с ZUI.

Ко­личес­тво каж­дой катего­рии тегов:

Все уни­каль­ные DNS queries:

SMB- и RPC-тра­фик в сис­темах Windows:

HTTP-зап­росы и филь­тра­ция самых полез­ных колонок:

Уни­каль­ные кон­некты и их количес­тво:

Ко­личес­тво передан­ных бай­тов на один кон­нект:

По­иск переда­ваемых фай­лов:

Все зап­росы HTTP Post:

Все IP-под­сети:

Ну и в завер­шение парада самые, на мой взгляд, клас­сные.

Де­монс­тра­ция всех сра­баты­ваний сиг­натур Suricata и их количес­тво:

Де­монс­тра­ция всех сра­баты­ваний сиг­натур Suricata, отфиль­тро­ван­ных по Source IP и Destination IP:

Поиск Emotet C2

Впер­вые Emotet обна­ружи­ли в 2014 году, и тог­да иссле­дова­тели безопас­ности клас­сифици­рова­ли его как бан­ков­ский тро­ян. Emotet в свое вре­мя выз­вал целую эпи­демию и успел серь­езно нав­редить мно­гим поль­зовате­лям. Одна­ко поз­же этот RAT мутиро­вал в дроп­пер и начал про­давать­ся в дар­кне­те по прин­ципу CaaS (Cybercrime as a Service). Новой фун­кци­ей мал­вари ста­ла заг­рузка дру­гого вре­донос­ного ПО в сис­тему жер­твы.

Од­ним из рас­простра­няемых Emotet’ом вре­доно­сов был бан­ков­ский тро­ян TrickBot. Эту связ­ку мы сей­час и най­дем с помощью ZUI.

Для ана­лиза нам понадо­бит­ся вот этот файл PCAP.

Най­дем все вхож­дения DNS в фай­ле PCAP. Для это­го исполь­зуем один из ранее при­веден­ных зап­росов.

Боль­ше все­го выделя­ются два адре­са:

Пер­вый отно­сит­ся к плат­форме threat-intelligence под наз­вани­ем Spamhaus. А вот вто­рой нам сто­ит про­верить на VirusTotal. Для это­го вызовем кон­текс­тное меню и выберем VirusTotal Lookup.

VirusTotal про­водит про­вер­ку и сооб­щает нам, что домен вре­донос­ный и ранее исполь­зовал­ся для хос­тинга мал­вари.

Най­дем запись типа A и исполь­зуем более ста­рую дату резол­ва, которая бли­же к дате пуб­ликации PCAP. Это будет адрес 81.169.145.161. Поп­робу­ем най­ти сов­падения в нашем фай­ле PCAP.

Мы обна­ружи­ваем адрес, и наше вни­мание прив­лека­ет то, что с него переда­ется файл во внут­реннюю сеть. Это очень подоз­ритель­но, надо иссле­довать даль­ше.

От­кро­ем вклад­ку с этим кон­нектом и дос­танем отту­да MD5-хеш 997d6f2e3879bb725fb4747b0046bb50. Теперь нам надо про­верить его на вре­донос­ность.

Что ж, сом­нения отпа­ли, хост 10.9.1.101 — это наш пер­вый заражен­ный.

На­до най­ти все переда­ваемые фай­лы, которые содер­жатся в этом дам­пе. Для это­го исполь­зуем такую стро­ку поис­ка:

И что же мы видим? Еще один IP-адрес. Закиды­ваем его на VirusTotal и убеж­даем­ся, что он вре­донос­ный.

Что­бы удос­товерить­ся, что это управля­ющий сер­вер, про­верим осталь­ные кон­некты на этот адрес. Сра­зу ста­новит­ся оче­вид­но: име­ют мес­то «маяч­ковые отсту­кива­ния».

От­сорти­руем тра­фик по тегам, что­бы пред­став­лять самые час­тые типы вза­имо­дей­ствия меж­ду хос­тами.

Хм, мож­но ска­зать, что ничего, ука­зыва­юще­го на даль­нейшее рас­простра­нение мал­вари, здесь нет. В таких рас­сле­дова­ниях обыч­но рас­счи­тыва­ешь уви­деть активность SMB and DCE/RPC.

Для уве­рен­ности, что зараже­ние не пош­ло даль­ше, мож­но пос­мотреть кон­некты, которые совер­шал пер­вый (и, наде­емся, пос­ледний) инфи­циро­ван­ный хост.

Нам инте­рес­ны кон­некты толь­ко из той же под­сети. Ничего подоз­ритель­ного не наб­люда­ется.

Мы наш­ли нес­коль­ко IOC, пер­вый заражен­ный хост, С2-сер­вер, а так­же выяс­нили, что даль­ше хос­та 10.9.1.101 зараже­ние не пош­ло.

Заключение

ZUI, к сожале­нию, не может стать пол­ноцен­ной заменой Wireshark, он ско­рее прев­раща­ет уто­митель­ный про­цесс в про­дук­тивную работу и бережет нер­вы. Но в качес­тве помощ­ника в ана­лизе тра­фика он прос­то незаме­ним.

ПОЛЕЗНЫЕ ССЫЛКИ:

• Перехват трафика в локальной сети по проводу
• Перехват GSM трафика при помощи RTL-SDR на Kali Linux