Réassembler des fichiers avec NetworkMiner depuis des captures réseau

Par Xavier Poli, secuobs.com
Le 11/12/2008

---

Résumé : NetworkMiner est un outil de recherche de preuves permettant, entre autres, de réassembler des fichiers multimédias et des certificats depuis des captures réalisées de façon passive sur un réseau. Son approche de visualisation des captures privilégie également la classification par hôte plutôt que par flux de données. - Lire l'article



NetworkMiner ( lien ) est un projet qui vise à offrir un outil de recherche de preuves informatiques ( lien ) au niveau réseau (Network Forensic Analysis Tool - NFAT). Il se présente sous la forme d’un analyseur réseau qui fonctionne sous les systèmes d’exploitation de type Microsoft Windows ; une interface graphique est par ailleurs disponible afin de simplifier la réalisation des opérations de traitement souhaitées.

Il peut être utilisé avec l’objectif de réaliser des captures passives de paquets issus du trafic réseau et dans le but de récolter de multiples informations concernant les systèmes d’exploitations en présence, les sessions ouvertes, les noms des hôtes, les ports ouverts sur ceux-ci et bien plus encore. NetworkMiner ne nécessite pas pour autant d’émettre le moindre paquet spécifique, sur ce même réseau, assurant ainsi à l’enquêteur un niveau optimal de furtivité.

Cet outil est par ailleurs apte à effectuer des traitements hors ligne avec par exemple la prise en charge des fichiers au format PCAP ( lien ) qu’il peut analyser afin de régénérer et réassembler des fichiers transférés par l’intermédiaire du réseau, comme des fichiers audio ou vidéo et des certificats.

L’utilisation de cet analyseur a notamment fait l’objet d’un article détaillé dans les éditions papier et en ligne du numéro dix-huit de la revue (IN)SECURE datant d’octobre 2008 ( page 18 - lien ).

NetworkMiner se veut en fait comme un collecteur d’informations réseau qui se différencie des solutions existantes ( lien / lien ) de par une approche plus axée sur les hôtes en eux-mêmes que sur les flux de données ; la visualisation des informations privilégie ainsi une classification par système en ce qui concerne l’ensemble des informations collectées plutôt qu’une longue liste de paquets réseau représentant les différents flux.

Pour ce qui est de ses capacités de reconnaissance d’empreintes, cet outil a été développé afin d’utiliser les bases de données de deux solutions très populaires dans ce domaine, à savoir p0f ( lien ) de Michal Zalewski et Ettercap ( voir notre dossier - lien ) de Alberto Ornaghi et Marco Valleri ; il utilise également une liste additionnelle provenant de l’outil de sécurité Nmap ( lien ) de Fyodor.

L’auteur de NetworkMiner souhaite également y intégrer au fur et à mesure des fonctionnalités SPID ( Statistical Protocol IDentification - lien ) qui permettront d’utiliser des méthodes statistiques afin de pouvoir identifier de façon précise le protocole utilisé au sein d’un flux de données ; ce flux pouvant aussi bien utiliser le protocole de transport TCP que l’UDP.

En effet, plutôt que d’observer le port utilisé et d'essayer de deviner à partir de ce seul élément le protocole relatif, NetworkMiner devrait ainsi être en mesure de le déterminer en fonction d’une base spécifique d’empreintes de protocole qu'il pourra comparer à des captures données et cela même si le protocole en question n’utilise pas le port standard qui lui est normalement affecté.

Vous pouvez tester la version 0.87 de NetworkMiner en la téléchargeant sur le site officiel du projet ( lien ) qui est hébergé par SourceForge ( lien ).

Source : Security Database Tools Watch ( lien ).