Pcap Inspection
RootedCON je najrelevantnija sajber bezbednosna manifestacija u Španiji i jedna od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo okupljalište za profesionalce u tehnologiji i sajber bezbednosti u svakoj disciplini.
Napomena o PCAP vs PCAPNG: postoje dve verzije PCAP formata datoteka; PCAPNG je noviji i nije podržan od svih alata. Možda ćete morati da konvertujete datoteku iz PCAPNG u PCAP koristeći Wireshark ili neki drugi kompatibilni alat, kako biste mogli da radite s njom u nekim drugim alatima.
Online alati za pcaps
Ako je zaglavlje vašeg pcap-a pokvareno, trebali biste pokušati da ga popravite koristeći: http://f00l.de/hacking/pcapfix.php
Izvucite informacije i tražite malver unutar pcap-a na PacketTotal
Tražite malicioznu aktivnost koristeći www.virustotal.com i www.hybrid-analysis.com
Potpuna pcap analiza iz pregledača na https://apackets.com/
Izvlačenje informacija
Sledeći alati su korisni za izvlačenje statistike, datoteka itd.
Wireshark
Ako planirate da analizirate PCAP, osnovno je da znate kako da koristite Wireshark
Možete pronaći neke Wireshark trikove u:
Wireshark tricksPcap analiza iz pregledača.
Xplico Framework
Xplico (samo linux) može analizirati pcap i izvući informacije iz njega. Na primer, iz pcap datoteke Xplico, izvlači svaku email poruku (POP, IMAP i SMTP protokoli), sve HTTP sadržaje, svaki VoIP poziv (SIP), FTP, TFTP, itd.
Instalirajte
Pokreni
Access to 127.0.0.1:9876 with credentials xplico:xplico
Then create a new case, create a new session inside the case and upload the pcap file.
NetworkMiner
Kao Xplico, to je alat za analizu i ekstrakciju objekata iz pcaps. Ima besplatnu verziju koju možete preuzeti ovde. Radi na Windows. Ovaj alat je takođe koristan za dobijanje druge analizirane informacije iz paketa kako bi se moglo brže saznati šta se dešava.
NetWitness Investigator
Možete preuzeti NetWitness Investigator odavde (Radi na Windows). Ovo je još jedan koristan alat koji analizira pakete i sortira informacije na koristan način da bi se znalo šta se dešava unutra.
Ekstrakcija i kodiranje korisničkih imena i lozinki (HTTP, FTP, Telnet, IMAP, SMTP...)
Ekstrakcija autentifikacionih hash-ova i njihovo razbijanje koristeći Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Izrada vizuelnog dijagrama mreže (Mrežni čvorovi i korisnici)
Ekstrakcija DNS upita
Rekonstrukcija svih TCP i UDP sesija
File Carving
Capinfos
Ngrep
Ako tražite nešto unutar pcap-a, možete koristiti ngrep. Evo primera koji koristi glavne filtre:
Carving
Korišćenje uobičajenih tehnika carving-a može biti korisno za ekstrakciju fajlova i informacija iz pcap-a:
File/Data Carving & Recovery ToolsCapturing credentials
Možete koristiti alate kao što su https://github.com/lgandx/PCredz za parsiranje kredencijala iz pcap-a ili sa aktivnog interfejsa.
RootedCON je najrelevantnija cyberbezbednosna manifestacija u Španiji i jedna od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo okupljalište za profesionalce iz tehnologije i cyberbezbednosti u svakoj disciplini.
Check Exploits/Malware
Suricata
Instalirajte i postavite
Proveri pcap
YaraPcap
YaraPCAP je alat koji
Čita PCAP datoteku i ekstrahuje Http tokove.
gzip dekompresuje sve kompresovane tokove
Skenira svaku datoteku sa yara
Piše report.txt
Opcionalno čuva odgovarajuće datoteke u direktorijum
Malware Analysis
Proverite da li možete pronaći bilo koji otisak poznatog malvera:
Malware AnalysisZeek
Zeek je pasivni, open-source analizator mrežnog saobraćaja. Mnogi operateri koriste Zeek kao Mrežni sigurnosni monitor (NSM) za podršku istragama sumnjive ili zlonamerne aktivnosti. Zeek takođe podržava širok spektar zadataka analize saobraćaja van domena sigurnosti, uključujući merenje performansi i rešavanje problema.
U suštini, logovi koje kreira zeek
nisu pcaps. Stoga ćete morati da koristite druge alate za analizu logova gde se nalaze informacije o pcaps.
Connections Info
DNS informacije
Ostali trikovi analize pcap-a
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON je najrelevantnija sajber bezbednosna manifestacija u Španiji i jedna od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je vrelo okupljalište za profesionalce u tehnologiji i sajber bezbednosti u svakoj disciplini.
Last updated