En este artículo se va a analizar un volcado de memoria RAM de un equipo infectado por Stuxnet, y para ello se hará uso de la herramienta Volatility.

Zeek, previamente llamado Bro IDS, es una herramienta IDS como hemos comentado en el primer artículo, que nos permite monitorizar el tráfico de la red, capturándolo y analizándolo, dando como resultado una serie de eventos. Una de las principales características de Zeek, es que posee un intérprete de scripts de políticas, que tiene su propio lenguaje, llamado Zeek-Script. Haciendo uso de este lenguaje, así como de las muy variadas opciones de configuración que nos proporciona Zeek, analizaremos la herramienta en esta sección.

En esta serie de artículos se procederá al estudio y análisis de la herramienta de monitorización actualmente conocida como Zeek [1].

A continuación se va a plantear una serie de preguntasWannaCry en base a una captura de tráfico de red en formato PCAP, utilizándose Wireshark para responder a estas preguntas, de esta forma se irá viendo cómo obtener la información básica de lo que ocurre en la red en base a una captura del tráfico y la utilización de Wireshark. La captura utilizada puede ser descargada en el siguiente enlace: https://www3.honeynet.org/wp-content/uploads/attachments/attack-trace.pcap_.gz

En este artículo se analizará a través de, principalmente, Volatility, una imagen de una memoria RAM afectada por el malware Zeus.