XPLICO: HERRAMIENTA FORENSE

Posted on 23/02/2012

2



Para los que no saben Xplico es una herramienta forense que nos permite revisar un extracto de los paquetes capturados del trafico de red que están a un nivel muy bajo y nos muestra el resultado en un nivel mas alto, capaz de armar y acomodar los paquetes capturados ya sean imágenes, paginas web, sonidos, vídeos incluso voz, etc. dependiendo del protocolo. Esta herramienta es Open Source,  pueden descargarla desde su pagina www.xplico.org/ ya sea en paquetes .deb, el código fuente para que ustedes lo compilen incluso una imagen para levantarlo desde una maquina virtual.

Para capturar los paquetes de un trafico de red, pueden usar “n” herramientas que existen en Internet, yo use para esta demostración tcpdump ya que me facilita el uso en lineas de comando.

Te conectas a una red ya sea por cable, por wifi o por Internet usando técnicas de intrusión de red y sistemas. Luego pones tu tarjeta de red en modo promiscuo para sniffear el trafico de toda la red. Usado ettercap puedes sniffear toda la red de esta manera:

sudo ettercap -T -q -P dns_spoof -M arp // // -i eth0

Dependiendo de la interfaz en que te encuentres conectado en mi caso eth0, para esto haces un ifconfig y te fijas, con -T -q le digo que realice el husmeo de tipo quiet, luego uso el plugin  dns_sppof de ettercap con -P y finalemte en modo ARP con -M, con esto le digo que solo snifee el protocolo http, mas adelante veremos como sniffear otro tipo de protocolos como SMTP, VoIP, etc

Una vez que te encuentres en modo promiscuo, vamos a capturar los paquetes que están viajando en el trafico de esta manera:

sudo tcpdump -i eth0 -w /tmp/test01.pcap

Como te puedes dar cuenta otra vez coloco la interfaz usando el parámetro -i, con el parámetro -w indico el lugar donde quiero que se guarde el archivo pcap donde se registrara todo el trafico de la red capturado. Pcap es un formato de archivo diseñado para guardar la información que viaja en la red en un nivel muy bajo y dependiendo de los filtros que coloquemos para que este se genere.

Luego de tener levando el servicio de xplico, ingresamos a nuestro localhost mediante el puerto 9876, creamos un nuevo caso:

Luego entramos a nuestro caso creado y creamos una nueva sesión:

Luego en el panel Pcap conjunto, subir el archivo *.pcap generado por tcpdump, en caso que tengas un error al subir configuras tu servidor de apache para que te permita subir mas megas de archivos y lo reinicias. Dependiendo del tamaño del archivo, Xplico se tomara unos minutos en procesar la información para poder mostrártela de una manera mas legible.

Ahora puedes filtrar por IP para que tu búsqueda sea mas especifica. En este caso hago un filtro a una IP especifica y puedo ver una pagina de facebook reconstruida, esto quiere decir que dicha IP estuvo logeada con una cuenta y me muestra su perfi.

Y así puedo seguir viendo las paginas que estuvo navegando dicha IP, así como también las imágenes. En otra Entrada mostrare como ver las conversaciones de los chat del facebook y del msn ya que estos están en otros protocolos de comunicación y no están en HTTP.

Esta herramienta nos puede servir en casos reales, como un seguimiento a una red de pedofilos que incluso viendo sus conversaciones con menores por los chats hasta conversaciones de skype mediante voz y videos que pueden estar subiendo o descargando, etc.

Anuncios
Posted in: forense, xplico