🖧 Анализ сетевого трафика с помощью Brim Security

В этом руководстве вы узнаете, как можно анализировать сетевой трафик с помощью инструмента безопасности Brim.

Brim – это десктопное приложение с открытым исходным кодом, которое можно использовать для анализа структурированных данных сетевого трафика, таких как;

• захват пакетов, например, с помощью Wireshark
• структурированные логи, особенно из системы сетевого анализа Zeek.

Согласно их странице, Brim собран из компонентов с открытым исходным кодом, включая:

• Zed, движок запросов структурированных логов;
• Electron и React для многоплатформенного пользовательского интерфейса;
• Zeek для генерации данных сетевого анализа из файлов захвата пакетов.

Анализ сетевого трафика с помощью Brim Security

В предыдущем уроке мы рассказали о том, как анализировать сетевой трафик с помощью Zeek.

🖧 Анализ сетевого трафика с помощью Zeek

В приведенном выше руководстве анализ проводился в основном с помощью команды zeek-cut.

Однако в этом уроке мы узнаем, как анализировать сетевой трафик с помощью Brim security.

Установка Brim Security на Ubuntu/Debian

Скачайте бинарный установщик Brim Debian со страницы скачивания.

Вы можете скачать с помощью wget.

Не забудьте изменить номер версии.

Загрузите бинарный установщик Brim Debian со страницы скачивания.

Вы можете скачать с помощью wget.

Не забудьте изменить номер версии.

После завершения загрузки выполните приведенную ниже команду, чтобы установить Brim;

apt install ./Brim-0.28.0.deb -y

На Kali Linux есть некоторые зависимости, которые не могут быть выполнены.

The following packages have unmet dependencies:
 brim : Depends: libappindicator3-1 but it is not installable
E: Unable to correct problems, you have held broken packages.

Вариант ошибки на русском:

Чтобы исправить это, добавьте репозитории Debian 10 buster:

echo 'deb http://ftp.de.debian.org/debian buster main' > /etc/apt/sources.list.d/buster.list

Обновите репозитории и установите Brim:

apt update

apt install ./Brim-0.28.0.deb -y

После завершения установки удалите репозиторий Debian 10 buster;

rm -rf /etc/apt/sources.list.d/buster.list

Установка Brim на настольные системы на базе CentOS/Rocky Linux/RHEL

Аналогично, загрузите пакеты RPM со страницы скачивания;

yum localinstall https://github.com/brimdata/brim/releases/download/v0.28.0/Brim-0.28.0.rpm

Запуск Brim Security

Теперь вы можете запустить Brim security из меню системных приложений;

Например, на Kali;

При первом запуске открывается вкладка “Release Notes”.

Вы можете закрыть вкладку, и вот как выглядит настольное приложение Brim;

Анализ сетевого трафика с помощью Brim Security

Для того чтобы узнать, как можно анализировать сетевой трафик с помощью Brim Security, мы проанализируем тот же PCAP-файл с сайта cyberdefenders.org, который мы анализировали с помощью zeek-cut, и попытаемся ответить на те же вопросы.

Таким образом, загрузите и извлеките файл PCAP;

cd ~/Downloads
unzip -P cyberdefenders.org c04-MalwareTrafficAnalysis1.zip

Теперь у вас должен быть PCAP-файл mta1.pcap.

Чтобы проанализировать этот захват пакетов сетевого трафика с помощью Brim;

Импортируйте файл PCAP в Brim для анализа, перетащив файл в Brim или просто импортировав его путем загрузки.

После загрузки Brim немедленно начинает обрабатывать файл сетевого трафика с помощью встроенных движков Zeek;

Обработка файла PCAP занимает всего несколько минут, в зависимости от размера.

Из событий на дашборде вы можете легко заметить, что Zeek генерирует логи с путями dns, stats, conn, weird, capture_loss и т.д.

Вы также можете заметить логи, путь к которым называется alert.

Это логи, сгенерированные с помощью правил движка Suricata от Brim.

На левой панели вы также можете увидеть различные групповые запросы, такие как DNS-запросы, активность файлов…

Обзор сетевого трафика

На левой панели нажмите Overview Activity , чтобы увидеть количество случаев различных соединений сетевого трафика.

Теперь давайте попробуем ответить на вопросы, связанные с файлом PCAP Cyberdefenders.org.

1. Каков IP-адрес зараженной виртуальной машины Windows?

Как уже упоминалось в нашем предыдущем руководстве по Zeek, один из способов, который мы можем использовать для поиска зараженных машин, заключается в определении того, какие IP-адреса/хосты подключаются с большим количеством пакетов или байтов, которые в данном случае можно назвать top talkers.

Если вы посмотрите примеры запросов на левой панели, вы увидите запрос под названием Connection Received Data.

Щелкните по этому запросу, и вы должны увидеть такие события.

Вы можете увидеть, что один хост участвует в таком большом количестве внешних соединений.

Вы также можете увидеть количество байтов, которыми обмениваются внешний хост и локальный потерянный.

Таким образом, можно предположить, что виновником является хост 172.16.165.165.

2. Каково имя хоста зараженной виртуальной машины Windows?

Можно получить имя хоста, связанное с IP-адресом, путем проверки DHCP, службы имен NetBIOS (NBNS) или трафика, связанного с SMB.

В Activity Overview, можно увидеть типы трафика, найденные в файле PCAP.

Таким образом, проанализируйте трафик, связанный с DHCP, чтобы получить имя хоста зараженной виртуальной машины.

В строке поиска введите запрос;

_path "dhcp" | cut client_addr, client_fqdn

_path "dhcp" | cut client_addr, client_fqdn, mac

_path "http" | cut id.orig_h, id.resp_h, host, referrer | uniq