Pcap Inspection
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Una nota sobre PCAP vs PCAPNG: hay dos versiones del formato de archivo PCAP; PCAPNG es más nuevo y no es compatible con todas las herramientas. Es posible que necesites convertir un archivo de PCAPNG a PCAP usando Wireshark u otra herramienta compatible, para poder trabajar con él en algunas otras herramientas.
Herramientas en línea para pcaps
Si el encabezado de tu pcap está dañado, deberías intentar repararlo usando: http://f00l.de/hacking/pcapfix.php
Extrae información y busca malware dentro de un pcap en PacketTotal
Busca actividad maliciosa usando www.virustotal.com y www.hybrid-analysis.com
Análisis completo de pcap desde el navegador en https://apackets.com/
Extraer Información
Las siguientes herramientas son útiles para extraer estadísticas, archivos, etc.
Wireshark
Si vas a analizar un PCAP, básicamente debes saber cómo usar Wireshark
Puedes encontrar algunos trucos de Wireshark en:
Wireshark tricksAnálisis de pcap desde el navegador.
Marco de trabajo Xplico
Xplico (solo linux) puede analizar un pcap y extraer información de él. Por ejemplo, de un archivo pcap, Xplico extrae cada correo electrónico (protocolos POP, IMAP y SMTP), todo el contenido HTTP, cada llamada VoIP (SIP), FTP, TFTP, y así sucesivamente.
Instalar
Ejecutar
Acceso a 127.0.0.1:9876 con credenciales xplico:xplico
Luego crea un nuevo caso, crea una nueva sesión dentro del caso y sube el archivo pcap.
NetworkMiner
Al igual que Xplico, es una herramienta para analizar y extraer objetos de pcaps. Tiene una edición gratuita que puedes descargar aquí. Funciona con Windows. Esta herramienta también es útil para obtener otra información analizada de los paquetes para poder saber qué estaba sucediendo de una manera más rápida.
NetWitness Investigator
Puedes descargar NetWitness Investigator desde aquí (Funciona en Windows). Esta es otra herramienta útil que analiza los paquetes y organiza la información de una manera útil para saber qué está sucediendo dentro.
Extracción y codificación de nombres de usuario y contraseñas (HTTP, FTP, Telnet, IMAP, SMTP...)
Extraer hashes de autenticación y crackearlos usando Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Construir un diagrama de red visual (Nodos de red y usuarios)
Extraer consultas DNS
Reconstruir todas las sesiones TCP y UDP
File Carving
Capinfos
Ngrep
Si estás buscando algo dentro del pcap, puedes usar ngrep. Aquí hay un ejemplo usando los filtros principales:
Carving
Usar técnicas de carving comunes puede ser útil para extraer archivos e información del pcap:
File/Data Carving & Recovery ToolsCapturando credenciales
Puedes usar herramientas como https://github.com/lgandx/PCredz para analizar credenciales de un pcap o de una interfaz en vivo.
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Ver Exploits/Malware
Suricata
Instalar y configurar
Ver pcap
YaraPcap
YaraPCAP es una herramienta que
Lee un archivo PCAP y extrae flujos Http.
gzip descomprime cualquier flujo comprimido
Escanea cada archivo con yara
Escribe un report.txt
Opcionalmente guarda archivos coincidentes en un directorio
Análisis de Malware
Verifica si puedes encontrar alguna huella de un malware conocido:
Malware AnalysisZeek
Zeek es un analizador de tráfico de red pasivo y de código abierto. Muchos operadores utilizan Zeek como un Monitor de Seguridad de Red (NSM) para apoyar investigaciones de actividades sospechosas o maliciosas. Zeek también soporta una amplia gama de tareas de análisis de tráfico más allá del dominio de la seguridad, incluyendo medición de rendimiento y solución de problemas.
Básicamente, los registros creados por zeek
no son pcaps. Por lo tanto, necesitarás usar otras herramientas para analizar los registros donde se encuentra la información sobre los pcaps.
Información de Conexiones
Información DNS
Otros trucos de análisis de pcap
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro vibrante para profesionales de la tecnología y la ciberseguridad en cada disciplina.
Last updated