17 mar. 2015

NetworkTotal: análisis de PCAP en línea

NetworkTotal es un servicio desarrollado por Edward Fjellskål que analiza archivos de captura de tráfico PCAP sospechosos y permite la identificación de virus, gusanos, troyanos, explotaciones y otros tipos de contenidos maliciosos detectados por distintos motores de detección de intrusiones y sus conjuntos de reglas. Su interfaz y su objetivo son similares a los de su hermano mayor VirusTotal, el cual también tiene esta capacidad de análisis.

Las principales características de NetworkTotal son:
  • Servicio gratuito e independiente.
  • Actualizaciones automáticas de las reglas y firmas del motor de detección.
  • Resultados detallados de cada motor de detección con su correspondiente conjunto de reglas.
  • Comunidad de investigación de malware en línea.
  • Corre múltiples motores de detección (por ahora solo soporta IDS Suricata 2.0.1rc1).
La forma de funcionamiento es sumamente sencilla e intuitiva: se sube una captura en un archivo PCAP (formato tradicional de TCPDump y WireShark) y estos son procesados por el IDS de Suricata.
Aquí hay un ejemplo de un captura de tráfico que detecta el troyano SpyEye y su análisis correspondiente en ViruTotal.

NetworkTotal está trabajando en la integración con otros motores antivirus e IDS.

Otras herramientas similares son PCAP Analizer, CloudShark y

Raúl de la redacción de Segu-Info

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!