Pcap Inspection
RootedCON est l'événement le plus pertinent en matière de cybersécurité en Espagne et l'un des plus importants en Europe. Avec pour mission de promouvoir les connaissances techniques, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
Une note sur PCAP vs PCAPNG : il existe deux versions du format de fichier PCAP ; PCAPNG est plus récent et n'est pas pris en charge par tous les outils. Vous devrez peut-être convertir un fichier de PCAPNG en PCAP en utilisant Wireshark ou un autre outil compatible, pour pouvoir travailler avec dans d'autres outils.
Outils en ligne pour les pcaps
Si l'en-tête de votre pcap est corrompu, vous devriez essayer de le réparer en utilisant : http://f00l.de/hacking/pcapfix.php
Extraire des informations et rechercher des logiciels malveillants à l'intérieur d'un pcap sur PacketTotal
Rechercher une activité malveillante en utilisant www.virustotal.com et www.hybrid-analysis.com
Extraire des informations
Les outils suivants sont utiles pour extraire des statistiques, des fichiers, etc.
Wireshark
Si vous allez analyser un PCAP, vous devez essentiellement savoir comment utiliser Wireshark
Vous pouvez trouver quelques astuces Wireshark dans :
Wireshark tricksCadre Xplico
Xplico (uniquement linux) peut analyser un pcap et en extraire des informations. Par exemple, à partir d'un fichier pcap, Xplico extrait chaque e-mail (protocoles POP, IMAP et SMTP), tous les contenus HTTP, chaque appel VoIP (SIP), FTP, TFTP, etc.
Installer
Exécution
Accédez à 127.0.0.1:9876 avec les identifiants xplico:xplico
Ensuite, créez un nouveau cas, créez une nouvelle session à l'intérieur du cas et téléversez le fichier pcap.
NetworkMiner
Comme Xplico, c'est un outil pour analyser et extraire des objets des pcaps. Il existe une édition gratuite que vous pouvez télécharger ici. Il fonctionne avec Windows. Cet outil est également utile pour obtenir d'autres informations analysées à partir des paquets afin de pouvoir savoir ce qui se passait de manière plus rapide.
NetWitness Investigator
Vous pouvez télécharger NetWitness Investigator ici (Il fonctionne sous Windows). C'est un autre outil utile qui analyse les paquets et trie les informations de manière utile pour savoir ce qui se passe à l'intérieur.
Extraction et encodage des noms d'utilisateur et des mots de passe (HTTP, FTP, Telnet, IMAP, SMTP...)
Extraction des hachages d'authentification et craquage avec Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Création d'un diagramme visuel du réseau (Nœuds du réseau et utilisateurs)
Extraction des requêtes DNS
Reconstruction de toutes les sessions TCP et UDP
Sculpture de fichiers
Capinfos
Ngrep
Si vous cherchez quelque chose à l'intérieur du pcap, vous pouvez utiliser ngrep. Voici un exemple utilisant les filtres principaux :
Carving
L'utilisation de techniques de carving courantes peut être utile pour extraire des fichiers et des informations du pcap :
File/Data Carving & Recovery ToolsCapture de mots de passe
Vous pouvez utiliser des outils comme https://github.com/lgandx/PCredz pour analyser les informations d'identification à partir d'un pcap ou d'une interface en direct.
RootedCON est l'événement le plus pertinent en matière de cybersécurité en Espagne et l'un des plus importants en Europe. Avec pour mission de promouvoir les connaissances techniques, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
Vérification des Exploits/Malwares
Suricata
Installation et configuration
Vérifier le pcap
YaraPcap
YaraPCAP est un outil qui
Lit un fichier PCAP et extrait les flux Http.
Décompresse gzip tous les flux compressés
Analyse chaque fichier avec yara
Écrit un rapport.txt
Enregistre éventuellement les fichiers correspondants dans un répertoire
Analyse de logiciels malveillants
Vérifiez si vous pouvez trouver une empreinte digitale d'un logiciel malveillant connu :
Malware AnalysisZeek
Zeek est un analyseur de trafic réseau passif et open source. De nombreux opérateurs utilisent Zeek comme moniteur de sécurité réseau (NSM) pour soutenir les enquêtes sur des activités suspectes ou malveillantes. Zeek prend également en charge un large éventail de tâches d'analyse de trafic au-delà du domaine de la sécurité, y compris la mesure des performances et le dépannage.
En gros, les journaux créés par zeek
ne sont pas des pcaps. Par conséquent, vous devrez utiliser d'autres outils pour analyser les journaux où les informations sur les pcaps se trouvent.
Informations DNS
Autres astuces d'analyse de pcap
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON est l'événement le plus pertinent en matière de cybersécurité en Espagne et l'un des plus importants en Europe. Avec pour mission de promouvoir les connaissances techniques, ce congrès est un point de rencontre bouillonnant pour les professionnels de la technologie et de la cybersécurité dans chaque discipline.
Last updated