Contenido
Fakenet NG es un programa gratuito para dispositivos de Microsoft Windows que le permite monitorear el tráfico de programas en la red simulando un entorno de red falso.
Diseñado específicamente para descubrir programas maliciosos, se puede utilizar para otros fines, como averiguar si un programa llama a casa, qué archivo ejecutable utiliza para eso y a qué servidores intenta establecer conexiones.
Si bien un firewall también le proporciona parte de esa información, Fakenet le brinda información adicional que los firewalls generalmente no ofrecen.
Fakenet
La herramienta le permite interceptar y redirigir todo o tráfico de red específico mientras simula servicios de red legítimos.
Con FakeNet-NG, los analistas de malware pueden identificar rápidamente la funcionalidad del malware y capturar firmas de red.
Los probadores de penetración y los cazadores de errores encontrarán que el motor de interceptación configurable y el marco modular de FakeNet-NG son muy útiles al probar la funcionalidad específica de la aplicación y la creación de prototipos de PoC.
Aquí hay un par de cosas que necesita saber sobre Fakenet antes de iniciar el programa:
- Fakenet se hace cargo de DNS en el puerto 53
- Escucha los puertos TCP 80, 443 y 25
- Es compatible con los protocolos DNS, HTTP y SSL.
Esto significa que cualquier tráfico que pase por estos puertos será registrado por Fakenet, pero no pasará (ya que termina en el entorno de red falso).
Tiene sentido detener la mayoría de los programas que se conectan a Internet antes de ejecutar Fakenet. Básicamente, obtiene los mejores resultados cuando simplemente ejecuta el programa que desea analizar.
Aún obtendrá algo de ruido de Windows y tal vez procesos en segundo plano que no pueda terminar.
El programa usa archivos ini que se encuentran en el directorio de configuración. Puede agregar puertos que desee monitorear o bloquear puertos para que no sean monitoreados usando estos archivos.
El archivo de configuración usa una sintaxis simple. Probablemente sea mejor si simplemente copia uno de los ajustes preestablecidos disponibles y lo edita para agregar puertos que desea que el programa también monitoree.
Puede utilizar la preferencia «redireccionar el tráfico» para capturar el tráfico en todos los puertos. Esto puede resultar útil si no está seguro de qué puertos utilizará un programa para la comunicación.
Tenga en cuenta que Fakenet ignorará todos los demás puertos. Si un programa se comunica usando diferentes puertos, la aplicación no lo registrará.
Una vez que haya terminado con todo eso, puede ejecutar Fakenet NG. El programa se proporciona como una aplicación de 32 y 64 bits.
Todo el tráfico de red que captura se repite en la interfaz del programa. Es posible que esto no sea demasiado utilizable teniendo en cuenta que no hay una opción de pausa disponible.
Sin embargo, Fakenet guarda los datos en un archivo pcap que puede abrir en programas como Wireshark que lo apoyan.
Palabras de cierre
Fakenet NG es un programa interesante para analizar el tráfico de red en puertos seleccionados o todos ellos en una máquina con Windows. Diseñado para analizar la actividad de red de programas maliciosos, puede usarse para monitorear cualquier programa que se ejecute en la máquina con Windows.
Dado que guarda los datos registrados como archivos pcap, es mejor analizar los hallazgos en programas como Wireshark, ya que facilitará las cosas.
La principal diferencia con los firewalls es que Fakenet NG le proporcionará información adicional que es posible que los firewalls no le brinden.