Pcap Inspection
RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro vivace per professionisti della tecnologia e della cybersecurity in ogni disciplina.
Una nota su PCAP vs PCAPNG: ci sono due versioni del formato di file PCAP; PCAPNG è più recente e non supportato da tutti gli strumenti. Potresti dover convertire un file da PCAPNG a PCAP utilizzando Wireshark o un altro strumento compatibile, per poter lavorare con esso in alcuni altri strumenti.
Online tools for pcaps
Se l'intestazione del tuo pcap è rotta dovresti provare a ripararla usando: http://f00l.de/hacking/pcapfix.php
Estrai informazioni e cerca malware all'interno di un pcap in PacketTotal
Cerca attività malevole usando www.virustotal.com e www.hybrid-analysis.com
Analisi completa del pcap dal browser in https://apackets.com/
Extract Information
I seguenti strumenti sono utili per estrarre statistiche, file, ecc.
Wireshark
Se intendi analizzare un PCAP devi sostanzialmente sapere come usare Wireshark
Puoi trovare alcuni trucchi di Wireshark in:
Wireshark tricksAnalisi del pcap dal browser.
Xplico Framework
Xplico (solo linux) può analizzare un pcap ed estrarre informazioni da esso. Ad esempio, da un file pcap Xplico estrae ogni email (protocollo POP, IMAP e SMTP), tutti i contenuti HTTP, ogni chiamata VoIP (SIP), FTP, TFTP, e così via.
Installa
Esegui
Accesso a 127.0.0.1:9876 con credenziali xplico:xplico
Poi crea un nuovo caso, crea una nuova sessione all'interno del caso e carica il file pcap.
NetworkMiner
Come Xplico, è uno strumento per analizzare ed estrarre oggetti dai pcap. Ha un'edizione gratuita che puoi scaricare qui. Funziona con Windows. Questo strumento è anche utile per ottenere ulteriori informazioni analizzate dai pacchetti per poter sapere cosa stava succedendo in modo più veloce.
NetWitness Investigator
Puoi scaricare NetWitness Investigator da qui (Funziona in Windows). Questo è un altro strumento utile che analizza i pacchetti e ordina le informazioni in un modo utile per sapere cosa sta succedendo all'interno.
Estrazione e codifica di nomi utente e password (HTTP, FTP, Telnet, IMAP, SMTP...)
Estrazione degli hash di autenticazione e cracking utilizzando Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Creazione di un diagramma di rete visivo (Nodi di rete e utenti)
Estrazione delle query DNS
Ricostruzione di tutte le sessioni TCP e UDP
File Carving
Capinfos
Ngrep
Se stai cercando qualcosa all'interno del pcap puoi usare ngrep. Ecco un esempio che utilizza i filtri principali:
Carving
Utilizzare tecniche di carving comuni può essere utile per estrarre file e informazioni dal pcap:
File/Data Carving & Recovery ToolsCatturare credenziali
Puoi utilizzare strumenti come https://github.com/lgandx/PCredz per analizzare le credenziali da un pcap o da un'interfaccia live.
RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro vivace per professionisti della tecnologia e della cybersecurity in ogni disciplina.
Controlla Exploits/Malware
Suricata
Installa e configura
Controlla pcap
YaraPcap
YaraPCAP è uno strumento che
Legge un file PCAP ed estrae flussi Http.
gzip decomprime eventuali flussi compressi
Scansiona ogni file con yara
Scrive un report.txt
Facoltativamente salva i file corrispondenti in una directory
Analisi Malware
Controlla se riesci a trovare qualche impronta di un malware noto:
Malware AnalysisZeek
Zeek è un analizzatore di traffico di rete passivo e open-source. Molti operatori utilizzano Zeek come Monitor di Sicurezza di Rete (NSM) per supportare le indagini su attività sospette o malevole. Zeek supporta anche una vasta gamma di compiti di analisi del traffico oltre il dominio della sicurezza, inclusi la misurazione delle prestazioni e la risoluzione dei problemi.
Fondamentalmente, i log creati da zeek
non sono pcaps. Pertanto, sarà necessario utilizzare altri strumenti per analizzare i log dove si trova l'informazione sui pcaps.
Informazioni sulle Connessioni
Informazioni DNS
Altri trucchi per l'analisi pcap
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON è l'evento di cybersecurity più rilevante in Spagna e uno dei più importanti in Europa. Con la missione di promuovere la conoscenza tecnica, questo congresso è un punto di incontro vivace per professionisti della tecnologia e della cybersecurity in ogni disciplina.
Last updated