Kaspersky publica TinyCheck, una herramienta para capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente TinyCheck permite capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente. Esto se puede usar para verificar si se está saliendo alguna comunicación sospechosa o maliciosa desde un teléfono inteligente, mediante el uso de heurísticas o indicadores de compromiso específicos (IoC). Arquitectura Para que funcione, necesita una computadora con un sistema operativo similar a Debian y dos interfaces Wi-Fi. La mejor opción es usar una Raspberry Pi (3+) con un dongle Wi-Fi y una pequeña pantalla táctil. Esta pequeña configuración (por menos de $ 50) le permite tocar cualquier dispositivo Wi-Fi, en cualquier lugar. Historia La idea de TinyCheck ocurrió en una reunión sobre artículos de acecho con un refugio para mujeres francesas. Durante esta reunión hablamos sobre cómo detectar fácilmente stalkerware sin instalar aplicaciones muy técnicas ni realizar análisis forenses en ellas. El concepto inicial era desarrollar un pequeño dispositivo de quiosco basado en Raspberry Pi que puede ser utilizado por personas sin conocimientos de tecnología para probar sus teléfonos inteligentes contra comunicaciones maliciosas emitidas por stalkerware o cualquier software espía. Por supuesto, TinyCheck también se puede utilizar para detectar cualquier comunicación maliciosa de ciberdelitos o implantes patrocinados por el estado. Permite al usuario final impulsar sus propios indicadores de compromiso extendidos a través de un backend para detectar algunos fantasmas a través del cable. Casos de uso TinyCheck puede ser utilizado de varias formas por personas y entidades:
Pocos pasos para analizar tu smartphone
Arquitectura TinyCheck se divide en tres partes independientes:
El backend y el frontend son bastante similares. Ambos consisten en una aplicación VueJS (fuentes almacenadas en / app /) y un punto final API desarrollado en Flask (almacenado en / server /). Los datos compartidos entre el backend y el frontend se almacenan en el archivo config.yaml para la configuración y la base de datos tinycheck.sqlite3 para la lista blanca / IOC. Vale la pena señalar que no todas las opciones de configuración son editables desde el backend (como puertos predeterminados, emisores de certificados gratuitos, etc.). No dude en echar un vistazo al archivo config.yaml para ajustar algunas opciones de configuración. Instalación Antes de la instalación de TinyCheck, debe tener:
$ cd / tmp / $ git clone https://github.com/KasperskyLab/TinyCheck $ cd TinyCheck $ sudo bash install.sh Al ejecutar install.sh, se instalarán todas las dependencias asociadas al proyecto y puede tardar varios minutos dependiendo de la velocidad de Internet. Se van a crear cuatro servicios:
Una vez instalado, el sistema operativo se reiniciará. Conoce la interfaz La interfaz, a la que se puede acceder desde http: //tinycheck.local, es una especie de túnel que ayuda al usuario a lo largo del proceso de captura e informes de la red. Permite al usuario configurar una conexión Wi-Fi a una red Wi-Fi existente, crear una red Wi-Fi efímera, capturar las comunicaciones y mostrar un informe al usuario ... en menos de un minuto, 5 clics y sin cualquier conocimiento técnico. Conoce el backend Una vez instalado, puede conectarse al backend de TinyCheck navegando por la URL https: //tinycheck.local y aceptando el certificado autofirmado SSL. Las credenciales predeterminadas son tinycheck / tinycheck. El backend le permite editar la configuración de TinyCheck, agregar IOC extendidas y elementos en la lista blanca para evitar falsos positivos. Ya se proporcionan varios IOC, como algunas reglas suricata, FreeDNS, servidores de nombres, CIDR conocidos por albergar servidores maliciosos, etc. En términos de IOC ampliadas, esta primera versión de TinyCheck incluye:
Conoce el motor de análisis El motor de análisis es bastante sencillo. Para esta primera versión, las comunicaciones de la red no se analizan en tiempo real durante la captura. El motor ejecuta Zeek y Suricata contra la captura de red previamente guardada. Zeek es un disector de redes muy conocido que almacena en varios registros la sesión capturada. Una vez guardados, estos registros se analizan para encontrar IOC extendidas (enumeradas anteriormente) o para que coincidan con las reglas heurísticas (que se pueden desactivar a través del backend). Las reglas heurísticas están codificadas en zeekengine.py y se enumeran a continuación. Como solo se analiza un dispositivo a la vez, existe una baja probabilidad de que se aprovechen las alertas heurísticas.
En la parte Suricata, la captura de la red se analiza contra las reglas suricata guardadas como IOC. Pocas reglas son dinámicas como:
Para mantener los IOC y la lista blanca actualizados constantemente, TinyCheck integra algo llamado "observadores". Es un servicio muy simple con pocas líneas de Python que captura nuevos IOC formateados o elementos de la lista blanca de URL públicas. A partir de hoy, TinyCheck integra dos URL, una para la lista blanca y otra para las IOC (los archivos formateados están presentes en la carpeta de activos). Si ha visto algo muy sospechoso y / o necesita ser investigado / integrado en una de estas dos listas, no dude en hacernos un ping. También puede hacer su propio observador. Recuerde, compartir es cuidar. Los comentarios están cerrados.
|
AutorHUMEDAL INFORMATIK Archivos
Abril 2021
Categorías
Todos
|