Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro vivace per professionisti della tecnologia e della cybersecurity in ogni disciplina.
Una nota su PCAP vs PCAPNG: ci sono due versioni del formato di file PCAP; PCAPNG è più recente e non supportato da tutti gli strumenti. Potresti dover convertire un file da PCAPNG a PCAP utilizzando Wireshark o un altro strumento compatibile, per poter lavorare con esso in alcuni altri strumenti.
Se l'intestazione del tuo pcap è rotta dovresti provare a ripararla usando: http://f00l.de/hacking/pcapfix.php
Estrai informazioni e cerca malware all'interno di un pcap in PacketTotal
Cerca attività malevole usando www.virustotal.com e www.hybrid-analysis.com
Analisi completa del pcap dal browser in https://apackets.com/
I seguenti strumenti sono utili per estrarre statistiche, file, ecc.
Se intendi analizzare un PCAP devi sostanzialmente sapere come usare Wireshark
Puoi trovare alcuni trucchi di Wireshark in:
Analisi del pcap dal browser.
Xplico (solo linux) può analizzare un pcap ed estrarre informazioni da esso. Ad esempio, da un file pcap Xplico estrae ogni email (protocollo POP, IMAP e SMTP), tutti i contenuti HTTP, ogni chiamata VoIP (SIP), FTP, TFTP, e così via.
Installa
Esegui
Accesso a 127.0.0.1:9876 con credenziali xplico:xplico
Poi crea un nuovo caso, crea una nuova sessione all'interno del caso e carica il file pcap.
Come Xplico, è uno strumento per analizzare ed estrarre oggetti dai pcap. Ha un'edizione gratuita che puoi scaricare qui. Funziona con Windows. Questo strumento è anche utile per ottenere altre informazioni analizzate dai pacchetti per poter sapere cosa stava succedendo in modo più veloce.
Puoi scaricare NetWitness Investigator da qui (Funziona in Windows). Questo è un altro strumento utile che analizza i pacchetti e ordina le informazioni in un modo utile per sapere cosa sta succedendo all'interno.
Estrazione e codifica di nomi utente e password (HTTP, FTP, Telnet, IMAP, SMTP...)
Estrazione degli hash di autenticazione e cracking utilizzando Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Creazione di un diagramma di rete visivo (Nodi di rete e utenti)
Estrazione delle query DNS
Ricostruzione di tutte le sessioni TCP e UDP
File Carving
Se stai cercando qualcosa all'interno del pcap puoi usare ngrep. Ecco un esempio che utilizza i filtri principali:
Utilizzare tecniche di carving comuni può essere utile per estrarre file e informazioni dal pcap:
Puoi utilizzare strumenti come https://github.com/lgandx/PCredz per analizzare le credenziali da un pcap o da un'interfaccia live.
RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro vivace per professionisti della tecnologia e della cybersecurity in ogni disciplina.
Installa e configura
Controlla pcap
YaraPCAP è uno strumento che
Legge un file PCAP ed estrae flussi Http.
gzip decomprime eventuali flussi compressi
Scansiona ogni file con yara
Scrive un report.txt
Facoltativamente salva i file corrispondenti in una directory
Controlla se riesci a trovare qualche impronta di un malware noto:
Zeek è un analizzatore di traffico di rete passivo e open-source. Molti operatori utilizzano Zeek come Monitor di Sicurezza di Rete (NSM) per supportare le indagini su attività sospette o malevole. Zeek supporta anche una vasta gamma di compiti di analisi del traffico oltre il dominio della sicurezza, inclusi la misurazione delle prestazioni e la risoluzione dei problemi.
Fondamentalmente, i log creati da zeek
non sono pcaps. Pertanto, sarà necessario utilizzare altri strumenti per analizzare i log dove si trova l'informazione sui pcaps.
RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro vivace per professionisti della tecnologia e della cybersecurity in ogni disciplina.
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)