Herramienta diseñada para analizar la comunicación de red en busca de malware.

Nov 24th, 2015 | Posted by | Filed under Redes, Seguridad, servidores, sysadmin

Malcom es una herramienta diseñada para analizar la comunicación en red mediante un sistema que utiliza representaciones gráficas de tráfico de la red usando referencias cruzadas con las fuentes de malware conocido. Es es muy útil para analizar cómo ciertas especies de malware tratan de comunicarse con el mundo exterior.

Malcom puede ayudar a:

  • Detectar los servidores de comando y control central (C & C).
  • Entender las redes peer-to-peer.
  • Observar infraestructuras fast-flux DNS.
  • Determinar rápidamente si un dispositivo de la red esta infectado.

El objetivo de Malcom es hacer análisis de malware y la recopilación de datos mas rápido, proporcionando una versión legible del tráfico de red procedente de un servidor o una red determinada. Su meta es convertir la información de tráfico de red para que sea procesable más rápido.

Los análistas de malware utilizan normalmente un montón de máquinas virtuales que se ejecutan en un sistema operativo anfitrión. Sólo hai que instalar Malcom en una nueva máquina virtual, y enrutar otras conexiones de sus máquinas virtuales a través de Malcom. Utilizando el script “enable_routing.sh” para activar el enrutamiento NAT en la máquina virtual Malcom. Añadiendo una tarjeta de red adicional para el sistema operativo invitado.

Malcom se puede desplegar en cualquier red, aunque no es recomendable utilizarlo en redes de alta disponibilidad (no fue diseñado para ser rápido), usted puede tener que correr al final del puerto espejo de su conmutador o en su pasarela.

Más información y descarga de Malcom:
https://github.com/tomchop/malcom

Marco actual de incidencias de Seguridad Informática:
http://www.gurudelainformatica.es/2014/12/marco-actual-de-incidencias-de.html

Fuente | Gurudelainformatica.es

Share
Comments are closed.