Pcap Inspection
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Uma nota sobre PCAP vs PCAPNG: existem duas versões do formato de arquivo PCAP; PCAPNG é mais novo e não é suportado por todas as ferramentas. Você pode precisar converter um arquivo de PCAPNG para PCAP usando o Wireshark ou outra ferramenta compatível, a fim de trabalhar com ele em algumas outras ferramentas.
Se o cabeçalho do seu pcap estiver quebrado, você deve tentar corrigi-lo usando: http://f00l.de/hacking/pcapfix.php
Extraia informações e procure por malware dentro de um pcap em PacketTotal
Procure por atividade maliciosa usando www.virustotal.com e www.hybrid-analysis.com
Análise completa de pcap a partir do navegador em https://apackets.com/
As seguintes ferramentas são úteis para extrair estatísticas, arquivos, etc.
Se você vai analisar um PCAP, basicamente deve saber como usar o Wireshark
Você pode encontrar alguns truques do Wireshark em:
Wireshark tricksAnálise de pcap a partir do navegador.
Xplico (apenas linux) pode analisar um pcap e extrair informações dele. Por exemplo, de um arquivo pcap, o Xplico extrai cada e-mail (protocolos POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada VoIP (SIP), FTP, TFTP, e assim por diante.
Instalar
Executar
Acesse 127.0.0.1:9876 com as credenciais xplico:xplico
Em seguida, crie um novo caso, crie uma nova sessão dentro do caso e faça o upload do arquivo pcap.
Assim como o Xplico, é uma ferramenta para analisar e extrair objetos de pcaps. Tem uma edição gratuita que você pode baixar aqui. Funciona com Windows. Esta ferramenta também é útil para obter outras informações analisadas dos pacotes, a fim de saber o que estava acontecendo de uma forma mais rápida.
Você pode baixar NetWitness Investigator daqui (Funciona no Windows). Esta é outra ferramenta útil que analisa os pacotes e organiza as informações de uma maneira útil para saber o que está acontecendo internamente.
Extraindo e codificando nomes de usuários e senhas (HTTP, FTP, Telnet, IMAP, SMTP...)
Extrair hashes de autenticação e quebrá-los usando Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Construir um diagrama de rede visual (Nós e usuários da rede)
Extrair consultas DNS
Reconstruir todas as sessões TCP e UDP
File Carving
Se você está procurando algo dentro do pcap, pode usar ngrep. Aqui está um exemplo usando os principais filtros:
Usar técnicas comuns de carving pode ser útil para extrair arquivos e informações do pcap:
File/Data Carving & Recovery ToolsVocê pode usar ferramentas como https://github.com/lgandx/PCredz para analisar credenciais de um pcap ou de uma interface ao vivo.
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Instalar e configurar
Verificar pcap
YaraPCAP é uma ferramenta que
Lê um arquivo PCAP e extrai fluxos Http.
gzip descomprime quaisquer fluxos comprimidos
Escaneia cada arquivo com yara
Escreve um report.txt
Opcionalmente salva arquivos correspondentes em um diretório
Verifique se você consegue encontrar alguma impressão digital de um malware conhecido:
Malware AnalysisZeek é um analisador de tráfego de rede passivo e de código aberto. Muitos operadores usam o Zeek como um Monitor de Segurança de Rede (NSM) para apoiar investigações de atividades suspeitas ou maliciosas. O Zeek também suporta uma ampla gama de tarefas de análise de tráfego além do domínio da segurança, incluindo medição de desempenho e solução de problemas.
Basicamente, os logs criados pelo zeek
não são pcaps. Portanto, você precisará usar outras ferramentas para analisar os logs onde as informações sobre os pcaps estão.
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover o conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)