iniqua

Xtractr: hybrid cloud application

Xtractr se presenta como "hybrid cloud application". Creado por Pcapr (mencionado en varias ocasiones en este blog) mezcla el uso de la plataforma Web de muDynamic con el análisis en local de la captura/as elegida.

En primer lugar nos descargamos Xtractr desde http://www.pcapr.net/xtractr . Le damos permisos de ejecución y podemos empezar a jugar...

root@bt:/home/ffranz# ./xtractr
+---
| xtractr-v4.5.35634
| http://www.pcapr.net/xtractr
| http://groups.google.com/group/pcapr-forum
| http://www.mudynamics.com
| http://twitter.com/pcapr
+---
| credits
|
| ferret     http://www.davebalmain.com
| mongoose   http://code.google.com/p/mongoose
| sqlite     http://www.sqlite.org
| v8         http://code.google.com/p/v8
+---

Usage: xtractr command options
 browse <index-dir> [options]
 index  <index-dir> [options] {<pcap>}+
 search <index-dir> <query>
 slice  <index-dir> <query> <pcap-file>

Ahora ya tenemos las opciones listadas. Lo primero que haremos será indexar los datos de nuestra captura (en unestro caso una sesión de navegación):

root@bt:/home/ffranz# ./xtractr index
Usage: index <index-dir> [options] {<pcap>}+
 --mode basic|forensics (default: basic)

root@bt:/home/ffranz # ./xtractr index ./iniqua --mode forensics ./iniqua/prueba_xtractr.pcap
processing ./iniqua/prueba_xtractr.pcap (EN10MB)
 >> tshark bug with psml
 >> aborting...

En pcapr nos indicaban que el único requisito para poder utilizar la herramienta es tener instalado en el sistema Wireshark, pero como podemos observar no es suficiente. Necesitamos instalar el paquete tshark. Por suerte nosotros estamos trabajando sobre un sistema basado en Debian que nos permite una instalación rápida desde repositorios.

root@bt:/home/ffranz# aptitude install tshark

Realizamos de nuevo la indexación:

root@bt:/home/ffranz# ./xtractr index ./iniqua --mode forensics ./iniqua/prueba_xtractr.pcap
processing ./iniqua/prueba_xtractr.pcap (EN10MB)
 indexing...100.0%
 #pkts processed: 3015
 packets/sec:     502.5 pkts/s
optimizing packets.db...done
optimizing terms.db...done

root@bt:/home/ffranz# ./xtractr browse ./iniqua
starting on http://127.0.0.1:8080

Accedemos a la url, nos identificamos con nuestro usuario de pcapr.net. y se cargarán los flujos del pcap analizado:

Encontramos varias opciones, distribuidas en pesatañas, como Hosts, donde obtendremos un listado de los Host y Servidores. Nos muestra una serie de información que va desde la dirección MAC, hasta los puertos abiertos y los servicios ofrecidos.

A destacar, la opción de marcar paquetes concretos mediante etiquetas. Una ayuda para realizar seguimientos.

Por último veamos un poco la única ventaja que podemos encontrar a este servicio, (no estamos muy convencidos todavía con el nuevo invento de la gente de Pcapr, pero confiamos en ellos!).

Nuggets son filtros creados por usuarios que nos permiten organizar y acceder a la información contenida en las capturas de tráfico de una manera eficiente. Por ahora los recursos son muy limitados, al igual que la funcionalidad. Prueba de ello es que este listado es el total de los Nuggets disponibles:

Lo cierto es que a pesar de estar ante una beta, las posibilidades prometen. La capacidada de estos filtros puede aumetar y llegar s ser de gran utilidad. Filtros enfocados a la detección de malware (al más puro estilo IDS), filtros capaces de detectar ataques... etc. Si alguien tiene alguno interesante, que lo comparta!

Os dejamos un par de capturas de dos de los filtros disponibles, que por lo menos son vistosos.