Pcap Inspection
RootedCON is die mees relevante sibersekuriteit-gebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n kookpunt vir tegnologie- en sibersekuriteitsprofessionals in elke dissipline.
'n Nota oor PCAP vs PCAPNG: daar is twee weergawes van die PCAP-lêerformaat; PCAPNG is nuwer en nie deur al die gereedskap ondersteun nie. Jy mag 'n lêer van PCAPNG na PCAP moet omskakel met Wireshark of 'n ander geskikte gereedskap, om daarmee te werk in ander gereedskap.
Aanlyn gereedskap vir pcaps
As die kop van jou pcap beskadig is, moet jy probeer om dit te herstel met: http://f00l.de/hacking/pcapfix.php
Ontgin inligting en soek vir malware binne 'n pcap in PacketTotal
Soek na skadelike aktiwiteit deur gebruik te maak van www.virustotal.com en www.hybrid-analysis.com
Ontgin Inligting
Die volgende gereedskap is nuttig om statistieke, lêers, ens. te ontsluit.
Wireshark
As jy 'n PCAP gaan analiseer, moet jy basies weet hoe om Wireshark te gebruik
Jy kan 'n paar Wireshark-truuks vind in:
pageWireshark tricksXplico Framework
Xplico (slegs linux) kan 'n pcap analiseer en inligting daaruit onttrek. Byvoorbeeld, van 'n pcap-lêer onttrek Xplico elke e-pos (POP, IMAP, en SMTP-protokolle), alle HTTP-inhoud, elke VoIP-oproep (SIP), FTP, TFTP, ensovoorts.
Installeer
Hardloop
Toegang tot 127.0.0.1:9876 met geloofsbriewe xplico:xplico
Skep dan 'n nuwe saak, skep 'n nuwe sessie binne die saak en laai die pcap-lêer op.
NetworkMiner
Soos Xplico is dit 'n instrument om analiseer en voorwerpe uit pcaps te onttrek. Dit het 'n gratis weergawe wat jy kan aflaai hier. Dit werk met Windows. Hierdie instrument is ook nuttig om ander inligting geanaliseer te kry uit die pakkies om te weet wat in 'n vinniger manier gebeur het.
NetWitness Investigator
Jy kan NetWitness Investigator hier aflaai (Dit werk in Windows). Dit is 'n ander nuttige instrument wat die pakkies analiseer en die inligting op 'n nuttige manier sorteer om te weet wat binne gebeur.
Uitpak en enkodeer gebruikersname en wagwoorde (HTTP, FTP, Telnet, IMAP, SMTP...)
Haal outentiseringshasse uit en kraak hulle met Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Bou 'n visuele netwerkdiagram (Netwerknodes & gebruikers)
Haal DNS-navrae uit
Herkonstrueer alle TCP- en UDP-sessies
Lêer uitsnyding
Capinfos
Ngrep
As jy iets binne die pcap soek, kan jy ngrep gebruik. Hier is 'n voorbeeld wat die hooffilters gebruik:
Uithol
Die gebruik van algemene uithol tegnieke kan nuttig wees om lêers en inligting uit die pcap te onttrek:
pageFile/Data Carving & Recovery ToolsVang van geloofsbriewe
Jy kan gereedskap soos https://github.com/lgandx/PCredz gebruik om geloofsbriewe uit 'n pcap of 'n lewende koppelvlak te ontled.
RootedCON is die mees relevante sibersekuriteitgebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n kookpunt vir tegnologie- en sibersekuriteitsprofessionals in elke dissipline.
Kontroleer Uitbuitings/Malware
Suricata
Installeer en stel op
Kyk na pcap
YaraPcap
YaraPCAP is 'n gereedskap wat
'n PCAP-lêer lees en HTTP-strome onttrek.
gzip-deflate enige saamgedrukte strome
Skandeer elke lêer met yara
Skryf 'n report.txt
Opsioneel stoor ooreenstemmende lêers na 'n Dir
Malware-analise
Kyk of jy enige vingerafdruk van 'n bekende malware kan vind:
pageMalware AnalysisZeek
Zeek is 'n passiewe, oopbron-netwerkverkeerontleder. Baie operateurs gebruik Zeek as 'n Netwerksekuriteitsmonitor (NSM) om ondersoeke van verdagte of skadelike aktiwiteit te ondersteun. Zeek ondersteun ook 'n wye reeks verkeersontledingstake buite die sekuriteitsdomein, insluitend prestasiemetings en foutoplossing.
Basies geskep deur zeek
se logboeke is nie pcaps nie. Daarom sal jy ander gereedskap moet gebruik om die logboeke te analiseer waar die inligting oor die pcaps is.
Verbindingsinligting
DNS inligting
Ander pcap-analise truuks
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON is die mees relevante sibersekuriteitgebeurtenis in Spanje en een van die belangrikste in Europa. Met die missie om tegniese kennis te bevorder, is hierdie kongres 'n kookpunt vir tegnologie- en sibersekuriteitsprofessionals in elke dissipline.
Last updated