WIRESHARK, USO DE FILTROS PARA DETECTAR ACTIVIDAD MALICIOSA

Podemos hacer distintos usos de Wireshark, pero dentro del anlisis dinmico de cdigos
maliciosos nos permite detectar conexiones ocultas del malware hacia direcciones remotas
para obtener otros archivos, o para reportarse a un panel de control en caso de una botnet,
entre otras variantes.
1. Cuando iniciamos la captura, podemos filtrar los paquetes que capturemos. Lo
primero, podemos reconocer a que servidores se conect a travs de las peticiones
DNS. Para esto podemos filtrar por DNS, escribiendo DNS en el campo de los filtros
y aplicar, sern visibles todas las resoluciones de nombres en direcciones IP. En el
caso del malware, permite reconocer con que servidores se conecta. A continuacin,
puede observarse una captura:

2. Otro aspecto a controlar seran las peticiones realizadas, filtro http.request es

posible obtener todos los GET y POST que fueron realizados durante el periodo de
captura. Estas peticiones son muy usadas por los malware para enviar informacin
del sistema infectado. Podemos ver un anlisis real sobre un malware que obtiene
datos y archivos desde un servidor remoto:

Cuando se obtuvo la peticin GET de la pgina http://www.2shared.com/ se pudo

observar actividad maliciosa al tratar de obtener un archivo de este servidor:

Filtro para
peticiones tipo
GET

Y para comprobar que no solo el software Wireshark detect tal anomala se

comprob con una de las pginas que ofrece la posibilidad de examinar ficheros
sospechosos haciendo uso diferentes motores de antivirus es VirusTotal
(http://www.virustotal.com).

Otra deteccin se obtuvo cuando se abri un pop-up de la pgina

http://wartune.r2games.com/

Comprobacin en lnea