NetworkTotal: análisis de PCAP en línea

NetworkTotal es un servicio desarrollado por Edward Fjellskål que analiza archivos de captura de tráfico PCAP sospechosos y permite la identificación de virus, gusanos, troyanos, explotaciones y otros tipos de contenidos maliciosos detectados por distintos motores de detección de intrusiones y sus conjuntos de reglas. Su interfaz y su objetivo son similares a los de su hermano mayor VirusTotal, el cual también tiene esta capacidad de análisis.

Las principales características de NetworkTotal son:

• Servicio gratuito e independiente.
• Actualizaciones automáticas de las reglas y firmas del motor de detección.
• Resultados detallados de cada motor de detección con su correspondiente conjunto de reglas.
• Comunidad de investigación de malware en línea.
• Corre múltiples motores de detección (por ahora solo soporta IDS Suricata 2.0.1rc1).

La forma de funcionamiento es sumamente sencilla e intuitiva: se sube una captura en un archivo PCAP (formato tradicional de TCPDump y WireShark) y estos son procesados por el IDS de Suricata.
Aquí hay un ejemplo de un captura de tráfico que detecta el troyano SpyEye y su análisis correspondiente en ViruTotal.

NetworkTotal está trabajando en la integración con otros motores antivirus e IDS.

Otras herramientas similares son PCAP Analizer, CloudShark y

Raúl de la redacción de Segu-Info

Suscríbete a nuestro Boletín