Pcap Inspection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON は スペイン で最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパ で最も重要なイベントの一つです。技術知識の促進を使命とし、この会議はあらゆる分野の技術とサイバーセキュリティの専門家が集まる熱い交流の場です。
PCAP と PCAPNG に関する注意: PCAPファイル形式には2つのバージョンがあり、PCAPNGは新しく、すべてのツールでサポートされているわけではありません。他のツールで作業するために、Wiresharkや他の互換性のあるツールを使用してPCAPNGからPCAPにファイルを変換する必要があるかもしれません。
pcapのヘッダーが壊れている場合は、http://f00l.de/hacking/pcapfix.phpを使用して修正を試みるべきです。
PacketTotalでpcap内の情報を抽出し、マルウェアを検索します。
www.virustotal.comおよびwww.hybrid-analysis.comを使用して悪意のある活動を検索します。
https://apackets.com/でブラウザから完全なpcap分析を行います。
次のツールは、統計、ファイルなどを抽出するのに役立ちます。
PCAPを分析する場合、基本的にWiresharkの使い方を知っておく必要があります
Wiresharkのトリックは以下で見つけることができます:
ブラウザからのpcap分析。
Xplico _(Linuxのみ)_は、pcapを分析し、そこから情報を抽出することができます。たとえば、pcapファイルからXplicoは、各メール(POP、IMAP、SMTPプロトコル)、すべてのHTTPコンテンツ、各VoIP通話(SIP)、FTP、TFTPなどを抽出します。
Install
実行
127.0.0.1:9876 に xplico:xplico の資格情報でアクセスします。
次に、新しいケースを作成し、ケース内に新しいセッションを作成し、pcapファイルをアップロードします。
Xplicoと同様に、pcapsからオブジェクトを分析および抽出するツールです。無料版があり、こちらからダウンロードできます。Windowsで動作します。 このツールは、パケットから他の情報を分析するのにも役立ち、より迅速に何が起こっているかを知ることができます。
こちらからNetWitness Investigatorをダウンロードできます**(Windowsで動作します)。 これは、パケットを分析し、内部で何が起こっているかを知るために役立つ方法で情報を整理する**別の便利なツールです。
ユーザー名とパスワードを抽出およびエンコード(HTTP、FTP、Telnet、IMAP、SMTP...)
認証ハッシュを抽出し、Hashcatを使用してそれらをクラッキング(Kerberos、NTLM、CRAM-MD5、HTTP-Digest...)
ビジュアルネットワークダイアグラムを構築(ネットワークノードとユーザー)
DNSクエリを抽出
すべてのTCPおよびUDPセッションを再構築
ファイルカービング
pcap内で何かを探している場合は、ngrepを使用できます。主なフィルターを使用した例を以下に示します:
一般的なカービング技術を使用することで、pcapからファイルや情報を抽出するのに役立ちます:
https://github.com/lgandx/PCredzのようなツールを使用して、pcapまたはライブインターフェースから資格情報を解析できます。
RootedCONは、スペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパで最も重要なイベントの一つです。技術知識の促進を使命とし、この会議はあらゆる分野の技術とサイバーセキュリティの専門家が集まる熱い交流の場です。
インストールと設定
pcapを確認する
YaraPCAP は、以下の機能を持つツールです。
PCAPファイルを読み込み、Httpストリームを抽出します。
圧縮されたストリームをgzipで解凍します。
すべてのファイルをyaraでスキャンします。
report.txtを作成します。
一致するファイルをディレクトリに保存するオプションがあります。
既知のマルウェアのフィンガープリントを見つけられるか確認してください:
Zeek は、受動的なオープンソースのネットワークトラフィックアナライザーです。多くのオペレーターは、疑わしいまたは悪意のある活動の調査をサポートするために、Zeekをネットワークセキュリティモニター(NSM)として使用しています。Zeekは、セキュリティドメインを超えたパフォーマンス測定やトラブルシューティングを含む、幅広いトラフィック分析タスクもサポートしています。
基本的に、zeek
によって作成されたログはpcapではありません。したがって、pcapに関する情報を分析するためには、他のツールを使用する必要があります。
RootedCON は スペイン で最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパ で最も重要なイベントの一つです。技術的知識の促進を使命とし、この会議はあらゆる分野の技術とサイバーセキュリティの専門家が集まる熱い交流の場です。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)