04 noviembre 2014

Moloch, el wireshark via web de AOL para forenses de red

No es la primera vez que una de las compañías grandes publica una herramienta que, al parecer lleva utilizando durante mucho tiempo, y que posteriormente deja a disposición de todo el mundo.

Hoy os hablamos de Moloch, herramienta via web para análisis de tráfico de red (open source), que nos llega por parte del gigante de las telecomunicaciones, AOL.


A grandes rasgos, ¿qué nos aporta frente al conocido por todos Wireshark?

  • Se utiliza y gestiona vía web
  • Está muy enfocado al análisis forense, por lo que hay disponibles plugins muy concretos para dichos menesteres (como por ejemplo, Geolocalización de tramas, reglas de Yara...)
  • Facilidad para la búsqueda e indexado de información dentro de las capturas de red
  • Posibilidad de crear GUIs propias debido a que hay disponible una API para todo el mostrado de información
  • Para el análisis en tiempo real, es posible disponer de una arquitectura distribuida sobre la que mantener sus componentes (bases de datos, indexados, visor de eventos...) y almacenar capturas de tráfico para su posible investigación futura.
Sobre los componentes de esta herramienta, tendremos los siguientes:
  1. capture - el elemento (escrito en C) que nos permitirá capturar tráfico directamente desde la fuente por cada interfaz de red de la que nos interese obtener información.
  2. viewer - aplicación en node.js que se ejecuta por cada máquina en red y que mantiene la interfaz web y la transferencia de ficheros PCAP.
  3. elasticsearch - tecnología de base de datos que nos facilitará la tarea de búsqueda de información.
Ejemplo simple de arquitectura para Moloch

Interfaz de la versión 0.8.0 de Moloch

Gracias a la interfaz, tendremos diferentes visualizaciones que nos facilitarán la tarea en la investigación, como es el caso del modo "Connections", el cual mediante un grafo nos visualizará relaciones entre los elementos involucrados, o el visor "SPI View" con el que podemos filtrar la información en base a multitud de criterios y elementos procesados.

Visualizador de conexiones según búsqueda realizada en base de datos de tráfico en Moloch

Vista SPI con filtrado e indexado de información almacenada en capturas de tráfico

Sin duda una herramienta a tener en cuenta, que nos permitirá llevar el análisis de tráfico a un nuevo nivel, y nos dará más visibilidad en nuestras tareas diarias en las que necesitemos investigar actividad de red de una manera ágil e intuitiva.

Si quieres probar la herramienta de manera online a modo de demo, podrás acceder a la siguiente URL:
utilizando moloch/moloch como credenciales.

7 comments :

muriel dijo...

Buenos días, las credenciales que mencionas no funcionan ¿?

Buguroo dijo...

Este tipo de eventos son muy interesantes, y siempre acarrean dos procesos. Por un lado, probar la herramienta, que en este caso parece fascinante y ya se pueden leer muchas cosas sobre ella en twitter. Por otro lado, cabe reflexionar... ¿Por qué suelta esto AOL ahora y no en otro momento? :P

Security By Default dijo...

Buenas Buguroo,

En realidad la herramienta fue liberada allá por mediados de 2012. En muchas ocasiones, las empresas publican códigos de herramientas internas en caso de que, por ejemplo, no puedan mantenerlas por su cuenta. Así los commits externos y posibles mejoras o issues serán contribuciones. Al final, gana todo el mundo, y si no pensó en comercializar...es la mejor manera de evolucionar externamente una herramienta.

Security By Default dijo...

¡Gracias por el aviso! Modificado queda

foyde dijo...

Buenos días;

parece una excelente herramienta, pero tengo un par de dudas;

1)Como realiza el envio de las mismas tramas desde el cliente? Existe la posibilidad de cifrar mediante TLS o similar dicha conexión?

2)No resulta un poco peligroso o temerario enviar a una compañia como AOL datos tan sensibles tu propia arquitectura de red? Sobre todo cuando hablamos de redes de terceros (auditoria, etc).

En cualquier caso, prometo darle un tiento y ver que tal

Daniel

muriel dijo...

ahora sí funciona!!! Tiene buena pinta!! Gracias ^^

mas cultura vendria bien dijo...

Más bien seria CIA/MOSSAD AOL.
Moloch es una criatura en la que muchos seres humanos lo describen como DIOS.
Estos personajes, cuando invocan a moloch es cuando ya tienen en una hoguera a niños hombres y mujeres llenos de combustible/acelerante para después prenderles fuego y así se obtiene un ritual dedicado a moloch.
Moloch es el símbolo del grupo bohemian grove o bohemian club donde muchos empresarios de la elite sionista que se dedica a meter guerras en este mundo, también se dedican a sacrificar a niños de 1 año.
Enhorabuena para los que estáis usando la herramienta de la CIA/MOSSAD y la hermandad.
El programita tendrá una puerta trasera oculta imposible de detectar y que como siempre ha pasado, años después se descubre para que fin se creo y como es el de siempre, espiar a los incautos.
"espiar", "espiar", "espiar"..........