Wireshark e framework di ricognizione

A partire da Wireshark, strumenti per la guerra informatica

Wireshark è uno strumento che analizza il traffico di rete a livello di pacchetto. È particolarmente utile per analizzare le comunicazioni di rete tra il malware e il suo server di comando e controllo.

Per vedere come funziona, osserviamo la prossima figura, che mostra l’interfaccia di Wireshark mentre analizza la cattura dei pacchetti generati dal malware noto come Trojan.Sakural. Possiamo visualizzare le attività di comunicazione di rete prodotte dal malware e dal server di comando e controllo degli hacker.

L’interfaccia di Wireshark.

Wireshark offre diversi modi per acquisire un file PCAP (il formato di file del traffico di rete acquisito), a seconda dell’ambiente.

Leggi anche: Il primo sniffing di dati dalla rete con WireShark

Dopo Wireshark: framework di ricognizione

I framework di ricognizione open source possono aiutarci a raccogliere informazioni specifiche su infrastrutture, vulnerabilità, pagine web, e-mail, social media, aziende e persino persone. Questi framework sono modulari per definizione, un aspetto che consente a chiunque di aggiungere o sviluppare un proprio modulo.

Per esempio, potremmo creare un modulo che enumera il nostro set di dati, come la directory aziendale di nomi utente e i codici hash delle password della nostra azienda, per poi cercare sul Web le fughe di dati corrispondenti ai nomi utente e alle password. In questo modo, il modulo potrebbe identificare gli account vulnerabili che gli hacker potrebbero utilizzare per ottenere un accesso alla nostra organizzazione. In alternativa, possiamo cercare il nome utente degli hacker, e identificare la loro e-mail e password.

Molti ricercatori sviluppano i propri moduli e poi li condividono su repository di software come GitHub, affinché anche altri possano impiegarli. I framework offrono molti vantaggi nelle ricerche sulle minacce, e poiché la maggior parte di essi non dispone di interfacce grafiche e richiede l’utilizzo di un’interfaccia a riga di comando, sono molto poco utilizzati. Vediamo alcuni esempi di framework che possiamo utilizzare nelle nostre indagini.

Recon-ng

Recon-ng è un framework di ricognizione gratuito e pubblicamente disponibile. Lo strumento, scritto in Python, è progettato e strutturato in modo simile al framework Metasploit. Entrambi hanno una sintassi della riga di comando simile e utilizzano moduli per eseguire le varie attività. Per esempio, Recon-ng può identificare l’infrastruttura pubblica, i sottodomini, gli indirizzi e-mail, i protocolli e le porte in uso, le tecnologie e i sistemi operativi utilizzati nell’ambiente di destinazione e molte altre informazioni di profilazione. Poiché Recon-ng è un prodotto a moduli, riceve costantemente nuovi aggiornamenti, cosa che lo rende una risorsa di riferimento per molti ricercatori. La figura seguente mostra l’interfaccia di Recon-ng.

L’interfaccia di Recon-ng.

Recon-ng può eseguire e pubblicare i risultati in un file di output scelto dall’utente, cosa che consente di organizzare i dati in un’unica posizione centrale. Possiamo anche creare e scrivere i nostri moduli Recon-ng per condurre ricerche su misura per le nostre esigenze o per quelle della nostra organizzazione. Inoltre, possiamo impiegare le chiavi API di molti altri strumenti e set di dati open source, per estendere le capacità dello strumento integrandone le funzionalità con queste risorse esterne.

Poiché alcuni dei moduli di Recon-ng sono aggressivi, assicuriamoci di capire esattamente quello che faremo, prima di utilizzarli.

TheHarvester

Un altro strumento di raccolta di informazioni a moduli progettato per i test di penetrazione, theHarvester è simile a Recon-ng ma non offre altrettante funzionalità. Tuttavia, theHarvester eccelle nella raccolta di e-mail e nell’enumerazione dell’infrastruttura. Le sue poche opzioni lo rendono anche più facile da usare per gli analisti meno esperti. Come Recon-ng, theHarvester raccoglie informazioni su un’infrastruttura, sulla posta elettronica e sulle aziende, ma non richiede il caricamento di moduli o conoscenze avanzate. theHarvester esegue ricerche per raccogliere informazioni su un obiettivo da fonti come Google, LinkedIn, server DNS e molte altre risorse Web progettate per la raccolta di informazioni. Possiamo inserire l’output dello strumento in vari formati, cosa che semplifica l’analisi, l’archiviazione e l’inserimento dei dati.

SpiderFoot

SpiderFoot è uno strumento open source gratuito la cui interfaccia grafica consente agli utenti di effettuare ricerche su vari tipi di dati. È utile per le indagini quotidiane e può farci risparmiare tempo durante la ricerca di informazioni open source. SpiderFoot utilizza molti strumenti attraverso un’unica interfaccia centrale, fornendo un framework che si collega a molti altri strumenti, tra cui VirusTotal e Hybrid Analysis.

Molte di queste risorse che funzionano insieme a SpiderFoot forniscono l’accesso gratuito alle loro chiavi API, sebbene la maggior parte limiti il numero di ricerche che potete effettuare gratuitamente. Per un singolo ricercatore, gli strumenti gratuiti disponibili tramite API dovrebbero essere sufficienti. Le aziende che desiderassero sfruttare appieno la risorsa probabilmente vorranno acquistare un abbonamento. SpiderFoot riceve aggiornamenti regolari, che spesso aggiungono nuove funzionalità.

Una lettura per chiunque voglia conoscere i meccanismi e gli attori delle moderne guerre informatiche.

SpiderFoot fornisce quattro tipi di ricerche, ognuna delle quali presenta una descrizione del tipo di scansione in corso. Ancora più importante: SpiderFoot offre una ricerca passiva, che è più facile e sicura per i principianti. Infine, a differenza di molte risorse trattate in precedenza, SpiderFoot può enumerare l’infrastruttura IPv6.

Dopo aver eseguito la ricerca, SpiderFoot può mostrare i risultati come un diagramma interconnesso. Questo è utile, poiché spesso il programma produce molti dati, il che può essere travolgente. Il fatto di disporli in un diagramma può aiutarci a vagliare le informazioni, oltre a mostrarci quali dati provengono da dove, in modo da poterli convalidare in un secondo momento.

Maltego

Maltego è uno strumento di analisi visiva dei dati, creato da Paterva. Accetta entità, o indicatori, quindi esegue del codice Python, le cosiddette trasformazioni, per condurre varie azioni contro un’entità.

Come altri strumenti trattati, Maltego può collaborare con la maggior parte delle risorse trattate in questo articolo. In effetti, molti fornitori e sviluppatori di sistemi di sicurezza impiegano le proprie trasformazioni Maltego per interrogare i propri set di dati. Per esempio, se disponiamo di un abbonamento a VirusTotal, possiamo utilizzare la sua chiave API e le trasformazioni personalizzate di VirusTotal per interrogare i suoi campioni di malware dall’interno di Maltego. Potremo così vedere i risultati mappati e visualizzati nel nostro grafico Maltego. Il programma consente inoltre di importare ed esportare dati testuali, per esempio fogli di lavoro, cosa particolarmente utile per lavorare con i dati del registro. Possiamo scaricare Maltego gratuitamente. Tuttavia, per un uso illimitato, avremo bisogno di un abbonamento a pagamento.

Questo articolo richiama contenuti da L’arte della guerra informatica.

Immagine di apertura di Fábio Lucas su Unsplash.