Post199 nn

Auditoría de infrastructura de red con Flightsim


Logo
Cristian Jose Acuña Ramirez

Introducción.

Es importante para un especialista de seguridad TI, auditar constantemente su infraestructura de red, así como también las aplicaciones existentes en su entorno de Tecnología de la información. Un ethical hacking debe recurrir a técnicas de ataque que se usan actualmente para determinar qué tan seguro o expuesto se está al mundo real en temas de Ciberseguridad. Debido a esto, hoy aprenderemos a generar tráfico malicioso a través de la red y podremos evaluar nuestros controles.

 

¿Qué es Flightsim?

Es una utilidad que no viene por defecto en aplicaciones de seguridad como Kali Linux, Parrot Security OS, Backbox Linux, etc., es utilizada para generar tráfico malicioso entiéndase por tráfico malicioso cualquier software capaz de verse envuelto en actividades hostiles con un equipo, aplicación o red. El investigador de seguridad informática ANDREW MORRIS llama a este tráfico como “ruido gris” un tipo de tráfico web potencialmente dañino que busca acceder a las redes y es difícil de detectar con métodos convencionales y a su vez es difícil de distinguir del tráfico normal. Esta utilidad permite ayudar a los equipos de seguridad a evaluar los controles de seguridad y la visibilidad de la red.

 

¿Cómo instalar Flightsim?

     Para descargar Flightsim se debe obtener él ultimo binario para su sistema operativo, y lo obtiene en la página de lanzamientos de GitHub. Alternativamente, la utilidad la puede construir utilizando Golang (un leguaje de código abierto desarrollado por Google) en cualquier entorno Linux, MacOS, Windows etc:

 

 

Ejecutando Flightsim:

 

 

flightsim es una aplicación que genera tráfico de red malicioso para que los equipos de seguridad evalúen los controles de seguridad (por ejemplo, firewalls,) y garanticen que las herramientas de monitoreo puedan detectar el tráfico malicioso

 

La utilidad ejecuta módulos propios para generar tráfico malicioso. Para realizar todas las pruebas disponibles, simplemente basta con utilizar flightsim run este comando generará tráfico utilizando la primera interfaz de red sin loopback disponible. NB: cuando se ejecuten los módulos C2 flightsim recopilará las direcciones C2 actuales de Cybercrime Tracker y AlphaSOC API, por lo que requiere acceso a Internet de salida.

 

Para numerar los módulos en funcionamiento de flightsim solo basta con correr el comando flightsim run –help, Para ejecutar pruebas particulares utilice el comando flightsim run <module>, Como se muestra a continuación.

 

 

¡Todo listo! Verifique si hay alertas en su SIEM (Security Information and Event Management) usando las marcas de tiempo y los detalles anteriores.

No es un secreto que las amenazas de seguridad aumentan continuamente, y que pueden provenir tanto de fuentes internas como externas. Una preocupación que crece es la posibilidad de que, accidentalmente, los empleados configuren erróneamente los ajustes de seguridad, dejando los datos vulnerables a un ataque. Para prevenir estos problemas, las organizaciones de IT han incorporado varios sistemas para protegerse de intrusiones y de una gran cantidad de amenazas diversas.

La desventaja de estos sistemas de protección es que generan tanta información para monitorizar, que los equipos de IT se enfrentan al problema de tener que interpretarla en su totalidad para poder reconocer los problemas reales. De hecho, el volumen de datos de seguridad que fluyen a los equipos de Seguridad de IT con poco personal, es más que nada inútil, a menos que pueda ser rápidamente analizado y filtrado en alertas procesables. Teniendo en cuenta la cantidad de datos que pueden llegar a ser, para las organizaciones ya no es posible hacer este análisis en forma manual. Es aquí donde aparece el software SIEM, como probar si está a punto nuestro SIEM, generando tráfico malicioso y evaluando que se disparen las alerta del mismo. 

 

Descripción de los módulos:

 

Modulo

Descripción

c2-dns

Genera una lista de los destinos C2 actuales y realiza solicitudes de DNS a cada uno.

c2-ip

Se conecta a 10 IP C2 de corriente aleatoria: puertos para simular sesiones de salida

dga

Simula el tráfico DGA utilizando etiquetas aleatorias y dominios de nivel superior

hijack

Pruebas para el soporte de secuestro de DNS a través de ns1.sandbox.alphasoc.xyz

scan

Realiza un escaneo de puertos de 10 direcciones RFC 1918 aleatorias utilizando puertos comunes

sink

Se conecta a 10 destinos aleatorios dirigidos por proveedores de seguridad

spambot

Resuelve y se conecta a servidores SMTP de Internet aleatorios para simular un bot de spam

tunnel

Genera solicitudes de tunelización de DNS a * .sandbox.alphasoc.xyz

fuente:https://github.com/alphasoc/flightsim

 



Artículos que te pueden interesar