Kaspersky publica TinyCheck, una herramienta para capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente

 

TinyCheck  permite capturar fácilmente las comunicaciones de red desde un teléfono inteligente o cualquier dispositivo que se pueda asociar a un punto de acceso Wi-Fi para analizarlas rápidamente. Esto se puede usar para verificar si se está saliendo alguna comunicación sospechosa o maliciosa desde un teléfono inteligente, mediante el uso de heurísticas o indicadores de compromiso específicos (IoC).

Arquitectura

Para que funcione, necesita una computadora con un sistema operativo similar a Debian y dos interfaces Wi-Fi. La mejor opción es usar una Raspberry Pi (3+) con un dongle Wi-Fi y una pequeña pantalla táctil. Esta pequeña configuración (por menos de $ 50) le permite tocar cualquier dispositivo Wi-Fi, en cualquier lugar.

Historia

La idea de TinyCheck ocurrió en una reunión sobre artículos de acecho con un refugio para mujeres francesas. Durante esta reunión hablamos sobre cómo detectar fácilmente stalkerware sin instalar aplicaciones muy técnicas ni realizar análisis forenses en ellas. El concepto inicial era desarrollar un pequeño dispositivo de quiosco basado en Raspberry Pi que puede ser utilizado por personas sin conocimientos de tecnología para probar sus teléfonos inteligentes contra comunicaciones maliciosas emitidas por stalkerware o cualquier software espía.

Por supuesto, TinyCheck también se puede utilizar para detectar cualquier comunicación maliciosa de ciberdelitos o implantes patrocinados por el estado. Permite al usuario final impulsar sus propios indicadores de compromiso extendidos a través de un backend para detectar algunos fantasmas a través del cable.

Casos de uso

TinyCheck puede ser utilizado de varias formas por personas y entidades:

•     A través de una red: TinyCheck se instala en una red y se puede acceder a él desde una estación de trabajo a través de un navegador.
•     En modo quiosco: TinyCheck se puede utilizar como quiosco para permitir que los visitantes prueben sus propios dispositivos.
•     Totalmente independiente: al usar un banco de energía, puede tocar cualquier dispositivo en cualquier lugar.

Pocos pasos para analizar tu smartphone

•     Desactivar el también conocido como móvil. datos del celular
•     Desactive el enlace de datos 3G / 4G en la configuración de su teléfono inteligente.
•     Cerrar todas las aplicaciones abiertas
•     Esto para prevenir algunos FP. También puede ser bueno desactivar la actualización de fondo para las aplicaciones de mensajería / citas / video / música.
•     Conecte su teléfono inteligente a la red WiFi generada por TinyCheck
•     Una vez conectado a la red Wi-Fi, se recomienda esperar entre 10 y 20 minutos.
•     Interactuar con su teléfono inteligente
•     Envíe un SMS, haga una llamada, tome una foto, reinicie su teléfono; algunos implantes pueden reaccionar ante tales eventos.
•     Detén la captura
•     Detenga la captura haciendo clic en el botón.
•     Analiza la captura
•     Analiza la comunicación captada, disfruta (o no).
•     Guarda la captura
•     Guarde la captura en una llave USB o mediante descarga directa.

Arquitectura

TinyCheck se divide en tres partes independientes:

•     Un backend: donde el usuario puede agregar sus propios IOC extendidos, elementos de la lista blanca, editar la configuración, etc.
•     Un frontend: donde el usuario puede analizar la comunicación de su dispositivo creando un AP WiFi efímero.
•     Un motor de análisis: se utiliza para analizar el pcap utilizando Zeek, Suricata, IOC extendidos y heurísticas.

El backend y el frontend son bastante similares. Ambos consisten en una aplicación VueJS (fuentes almacenadas en / app /) y un punto final API desarrollado en Flask (almacenado en / server /). Los datos compartidos entre el backend y el frontend se almacenan en el archivo config.yaml para la configuración y la base de datos tinycheck.sqlite3 para la lista blanca / IOC.

Vale la pena señalar que no todas las opciones de configuración son editables desde el backend (como puertos predeterminados, emisores de certificados gratuitos, etc.). No dude en echar un vistazo al archivo config.yaml para ajustar algunas opciones de configuración.

Instalación

Antes de la instalación de TinyCheck, debe tener:

•     Una Raspberry Pi con sistema operativo Raspberry Pi (o cualquier computadora con un sistema similar a Debian)
•     Dos interfaces Wi-Fi en funcionamiento (verifique su número con ifconfig | grep wlan | wc -l).
•     Una conexión a Internet en funcionamiento
•     (Recomendado) Una pequeña pantalla táctil previamente instalada para el modo quiosco de TinyCheck.

$ cd / tmp /
$ git clone https://github.com/KasperskyLab/TinyCheck
$ cd TinyCheck
$ sudo bash install.sh

Al ejecutar install.sh, se instalarán todas las dependencias asociadas al proyecto y puede tardar varios minutos dependiendo de la velocidad de Internet. Se van a crear cuatro servicios:

•     tinycheck-backend ejecutando la interfaz y el servidor backend;
•     tinycheck-frontend ejecutando el servidor frontend & interface;
•     tinycheck-kiosk para manejar la versión de kiosco de TinyCheck;
•     tinycheck-watchers para manejar los observadores que actualizan automáticamente las IOC / listas blancas de URL externas;

Una vez instalado, el sistema operativo se reiniciará.

Conoce la interfaz

La interfaz, a la que se puede acceder desde http: //tinycheck.local, es una especie de túnel que ayuda al usuario a lo largo del proceso de captura e informes de la red. Permite al usuario configurar una conexión Wi-Fi a una red Wi-Fi existente, crear una red Wi-Fi efímera, capturar las comunicaciones y mostrar un informe al usuario ... en menos de un minuto, 5 clics y sin cualquier conocimiento técnico.


Conoce el backend


Una vez instalado, puede conectarse al backend de TinyCheck navegando por la URL https: //tinycheck.local y aceptando el certificado autofirmado SSL. Las credenciales predeterminadas son tinycheck / tinycheck.

El backend le permite editar la configuración de TinyCheck, agregar IOC extendidas y elementos en la lista blanca para evitar falsos positivos. Ya se proporcionan varios IOC, como algunas reglas suricata, FreeDNS, servidores de nombres, CIDR conocidos por albergar servidores maliciosos, etc. En términos de IOC ampliadas, esta primera versión de TinyCheck incluye:

•     Reglas de Suricata
•     CIDR
•     Dominios y FQDN (denominados genéricamente "Dominios")
•     Direcciones IPv4 / IPv6
•     Certificados sha1
•     Servidores de nombres
•     FreeDNS
•     TLD de lujo

Conoce el motor de análisis

El motor de análisis es bastante sencillo. Para esta primera versión, las comunicaciones de la red no se analizan en tiempo real durante la captura. El motor ejecuta Zeek y Suricata contra la captura de red previamente guardada. Zeek es un disector de redes muy conocido que almacena en varios registros la sesión capturada.

Una vez guardados, estos registros se analizan para encontrar IOC extendidas (enumeradas anteriormente) o para que coincidan con las reglas heurísticas (que se pueden desactivar a través del backend). Las reglas heurísticas están codificadas en zeekengine.py y se enumeran a continuación. Como solo se analiza un dispositivo a la vez, existe una baja probabilidad de que se aprovechen las alertas heurísticas.

•     UDP / ICMP fuera de la red local
•     Conexión UDP / TCP con un puerto de destino> 1024
•     Host remoto no resuelto por DNS durante la sesión
•     Uso de certificado autofirmado por el host remoto
•     Conexión SSL realizada en un puerto no estándar
•     Uso de emisores de certificados SSL específicos por parte del host remoto (como Let's Encrypt)
•     Solicitudes HTTP realizadas durante la sesión
•     Solicitudes HTTP realizadas en un puerto no estándar
• ...
  

   
En la parte Suricata, la captura de la red se analiza contra las reglas suricata guardadas como IOC. Pocas reglas son dinámicas como:

•     Nombre del dispositivo exfiltrado en texto sin cifrar;
•     SSID del punto de acceso exfiltrado en texto sin cifrar;

Para mantener los IOC y la lista blanca actualizados constantemente, TinyCheck integra algo llamado "observadores". Es un servicio muy simple con pocas líneas de Python que captura nuevos IOC formateados o elementos de la lista blanca de URL públicas. A partir de hoy, TinyCheck integra dos URL, una para la lista blanca y otra para las IOC (los archivos formateados están presentes en la carpeta de activos).

Si ha visto algo muy sospechoso y / o necesita ser investigado / integrado en una de estas dos listas, no dude en hacernos un ping. También puede hacer su propio observador. Recuerde, compartir es cuidar.