Xplico es un framework forense que permite realizar diferentes tareas a la hora de analizar datos recopilados en capturas de red, contando con una amplia gama de protocolos soportados. Permite reconstruir el contenido de los paquetes de red capturados para luego poder visualizarlo de forma ordenada y clasificada.
La captura de tráfico de red puede utilizarse en entornos forenses para evaluar diferentes aspectos relacionados con los datos que viajan por la red y los sistemas que se encuentran presentes. Generalmente las capturas se realizan con distintas herramientas, como por ejemplo Wireshark, y pueden prolongarse por mucho tiempo, incluso en ciertos casos podría contener grandes volúmenes de información.
Bajo esta premisa, es posible utilizar Xplico. Este framework permite analizar archivos de captura de datos, por ejemplo en formato PCAP, y los separa de acuerdo a la presencia de los diferentes protocolos. De esa manera, es posible visualizar toda la información contenida en la captura de una forma más ordenada y precisa. Además es posible analizar archivos de un gran tamaño, incluso con gigabytes de información debido a la estructura robusta que posee. En la siguiente imagen puede observarse la lista de protocolos soportados y el porcentaje de cobertura de cada uno de ellos:
Una de las características que proveen mayor comodidad es la funcionalidad que permite visualizar aquellas imágenes que hayan sido accedidas por algún usuario durante el período de captura. De esta forma, Xplico vuelve a cargar las imágenes accedidas.
Existe otra característica que permite observar de forma rápida a que sitios web se accedieron, así como también qué tipo de peticiones DNS fueron realizadas durante el período de captura. Esto evita que el análisis deba realizarse manualmente y facilita el trabajo del auditor en caso que pase por alto algún tipo de petición.
Existen otras funcionalidades tales como las capturas de chat de diferentes aplicaciones. Se incluyen algunos protocolos tales como IRC, chat de Facebook y Messenger, entre otros. Esto permite visualizar de forma limpia y completa aquellas conversaciones que hayan sido originadas durante el período de captura.
Estas son algunas de las tantas funcionalidades que posee esta herramienta. A continuación puede observarse una captura de la pantalla principal con alguna de las opciones:
Así como es sumamente útil para utilizarlo cuando se realizan análisis forenses de tráfico de red, también puede utilizarse como herramienta durante el análisis dinámico de un código malicioso.
La aparición de estas herramientas permiten que puedan realizarse análisis más profundos y gráficos. Es importante considerar que todas estas funcionalidades ayudan a los analistas a realizar un trabajo más preciso en pos de la seguridad. En el caso del análisis del malware, permite obtener información precisa y tomar las acciones pertinentes, como por ejemplo, identificar las direcciones IP de los servidores maliciosos. En un caso, donde un código malicioso genera grandes flujos de tráfico de red para despistar, este tipo de herramientas pueden ser de gran utilidad.
En una futura edición utilizaremos Xplico para realizar el análisis de red una código malicioso en particular en búsqueda de información sustancial que ayude a identificar el comportamiento del propio malware.
Fernando Catoira
Analista de Seguridad