Pcap Inspection
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Una nota sobre PCAP vs PCAPNG: hay dos versiones del formato de archivo PCAP; PCAPNG es más nuevo y no es compatible con todas las herramientas. Es posible que necesites convertir un archivo de PCAPNG a PCAP usando Wireshark u otra herramienta compatible, para poder trabajar con él en algunas otras herramientas.
Si el encabezado de tu pcap está dañado, deberías intentar repararlo usando: http://f00l.de/hacking/pcapfix.php
Extrae información y busca malware dentro de un pcap en PacketTotal
Busca actividad maliciosa usando www.virustotal.com y www.hybrid-analysis.com
Análisis completo de pcap desde el navegador en https://apackets.com/
Las siguientes herramientas son útiles para extraer estadísticas, archivos, etc.
Si vas a analizar un PCAP, básicamente debes saber cómo usar Wireshark
Puedes encontrar algunos trucos de Wireshark en:
Wireshark tricksAnálisis de pcap desde el navegador.
Xplico (solo linux) puede analizar un pcap y extraer información de él. Por ejemplo, de un archivo pcap, Xplico extrae cada correo electrónico (protocolos POP, IMAP y SMTP), todo el contenido HTTP, cada llamada VoIP (SIP), FTP, TFTP, y así sucesivamente.
Instalar
Ejecutar
Acceso a 127.0.0.1:9876 con credenciales xplico:xplico
Luego crea un nuevo caso, crea una nueva sesión dentro del caso y sube el archivo pcap.
Al igual que Xplico, es una herramienta para analizar y extraer objetos de pcaps. Tiene una edición gratuita que puedes descargar aquí. Funciona con Windows. Esta herramienta también es útil para obtener otra información analizada de los paquetes para poder saber qué estaba sucediendo de una manera más rápida.
Puedes descargar NetWitness Investigator desde aquí (Funciona en Windows). Esta es otra herramienta útil que analiza los paquetes y ordena la información de una manera útil para saber qué está sucediendo dentro.
Extracción y codificación de nombres de usuario y contraseñas (HTTP, FTP, Telnet, IMAP, SMTP...)
Extraer hashes de autenticación y crackearlos usando Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Construir un diagrama de red visual (Nodos de red y usuarios)
Extraer consultas DNS
Reconstruir todas las sesiones TCP y UDP
File Carving
Si estás buscando algo dentro del pcap, puedes usar ngrep. Aquí hay un ejemplo usando los filtros principales:
Usar técnicas de carving comunes puede ser útil para extraer archivos e información del pcap:
File/Data Carving & Recovery ToolsPuedes usar herramientas como https://github.com/lgandx/PCredz para analizar credenciales de un pcap o de una interfaz en vivo.
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Instalar y configurar
Ver pcap
YaraPCAP es una herramienta que
Lee un archivo PCAP y extrae flujos Http.
gzip descomprime cualquier flujo comprimido.
Escanea cada archivo con yara.
Escribe un report.txt.
Opcionalmente guarda archivos coincidentes en un directorio.
Verifica si puedes encontrar alguna huella de un malware conocido:
Malware AnalysisZeek es un analizador de tráfico de red pasivo y de código abierto. Muchos operadores utilizan Zeek como un Monitor de Seguridad de Red (NSM) para apoyar investigaciones de actividades sospechosas o maliciosas. Zeek también soporta una amplia gama de tareas de análisis de tráfico más allá del dominio de la seguridad, incluyendo medición de rendimiento y solución de problemas.
Básicamente, los registros creados por zeek
no son pcaps. Por lo tanto, necesitarás usar otras herramientas para analizar los registros donde se encuentra la información sobre los pcaps.
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)