Pcap Inspection
RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsprofis in jeder Disziplin.
Eine Anmerkung zu PCAP vs PCAPNG: Es gibt zwei Versionen des PCAP-Dateiformats; PCAPNG ist neuer und wird nicht von allen Tools unterstützt. Möglicherweise müssen Sie eine Datei von PCAPNG in PCAP konvertieren, um mit ihr in anderen Tools arbeiten zu können, z. B. mit Wireshark oder einem anderen kompatiblen Tool.
Online-Tools für PCAPs
Wenn der Header Ihrer PCAP beschädigt ist, sollten Sie versuchen, ihn mit http://f00l.de/hacking/pcapfix.php zu reparieren
Extrahieren Sie Informationen und suchen Sie nach Malware in einer PCAP-Datei in PacketTotal
Suchen Sie nach bösartiger Aktivität mit www.virustotal.com und www.hybrid-analysis.com
Informationen extrahieren
Die folgenden Tools sind nützlich, um Statistiken, Dateien usw. zu extrahieren.
Wireshark
Wenn Sie eine PCAP analysieren möchten, müssen Sie im Grunde wissen, wie man Wireshark verwendet
Einige Wireshark-Tricks finden Sie unter:
pageWireshark tricksXplico Framework
Xplico (nur Linux) kann eine PCAP analysieren und Informationen daraus extrahieren. Zum Beispiel extrahiert Xplico aus einer PCAP-Datei jede E-Mail (POP, IMAP und SMTP-Protokolle), alle HTTP-Inhalte, jeden VoIP-Anruf (SIP), FTP, TFTP usw.
Installation
Ausführen
Zugriff auf 127.0.0.1:9876 mit Anmeldeinformationen xplico:xplico
Erstellen Sie dann einen neuen Fall, erstellen Sie eine neue Sitzung innerhalb des Falls und laden Sie die pcap-Datei hoch.
NetworkMiner
Wie Xplico ist es ein Tool zum Analysieren und Extrahieren von Objekten aus pcaps. Es gibt eine kostenlose Edition, die Sie hier herunterladen können (https://www.netresec.com/?page=NetworkMiner). Es funktioniert mit Windows. Dieses Tool ist auch nützlich, um weitere analysierte Informationen aus den Paketen zu erhalten, um schneller herauszufinden, was passiert ist.
NetWitness Investigator
Sie können NetWitness Investigator hier herunterladen (Es funktioniert unter Windows). Dies ist ein weiteres nützliches Tool, das die Pakete analysiert und die Informationen auf eine nützliche Weise sortiert, um zu wissen, was drinnen passiert.
Extrahieren und Codieren von Benutzernamen und Passwörtern (HTTP, FTP, Telnet, IMAP, SMTP...)
Extrahieren von Authentifizierungshashes und Knacken mit Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Erstellen eines visuellen Netzwerkdiagramms (Netzwerkknoten und Benutzer)
Extrahieren von DNS-Anfragen
Rekonstruieren aller TCP- und UDP-Sitzungen
Dateischnitzerei
Capinfos
Ngrep
Wenn Sie in der pcap-Datei nach etwas suchen möchten, können Sie ngrep verwenden. Hier ist ein Beispiel mit den Hauptfiltern:
Carving
Die Verwendung gängiger Carving-Techniken kann nützlich sein, um Dateien und Informationen aus dem pcap zu extrahieren:
pageFile/Data Carving & Recovery ToolsErfassen von Anmeldedaten
Sie können Tools wie https://github.com/lgandx/PCredz verwenden, um Anmeldedaten aus einem pcap oder einer Live-Schnittstelle zu analysieren.
RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit dem Ziel, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsprofis in jeder Disziplin.
Überprüfen von Exploits/Malware
Suricata
Installation und Einrichtung
Überprüfen Sie die pcap-Datei
Um eine pcap-Datei zu überprüfen, können Sie verschiedene Tools verwenden, um den Inhalt zu analysieren und wichtige Informationen zu extrahieren. Hier sind einige Schritte, die Sie befolgen können:
Wireshark: Öffnen Sie die pcap-Datei mit Wireshark, einem leistungsstarken Netzwerkanalysetool. Wireshark ermöglicht es Ihnen, den Datenverkehr im Detail zu betrachten, Filter anzuwenden und Protokolle zu analysieren.
TCPDump: Verwenden Sie das Befehlszeilentool TCPDump, um den Inhalt der pcap-Datei anzuzeigen. Sie können Filter anwenden, um den Datenverkehr auf bestimmte Protokolle oder IP-Adressen zu beschränken.
TShark: TShark ist ein Konsolenprogramm, das Teil von Wireshark ist. Es ermöglicht Ihnen, pcap-Dateien zu analysieren und wichtige Informationen zu extrahieren, ohne die grafische Benutzeroberfläche von Wireshark verwenden zu müssen.
Zeitstempel überprüfen: Überprüfen Sie die Zeitstempel in der pcap-Datei, um festzustellen, wann bestimmte Ereignisse stattgefunden haben. Dies kann Ihnen helfen, den Ablauf des Netzwerkverkehrs zu verstehen.
Filter anwenden: Verwenden Sie Filter, um den Datenverkehr auf bestimmte Protokolle, IP-Adressen oder Ports zu beschränken. Dies kann Ihnen helfen, den relevanten Teil der pcap-Datei zu isolieren.
Analyse von Protokollen: Untersuchen Sie die Protokolle im pcap-Dateiinhalt, um mögliche Angriffe oder verdächtige Aktivitäten zu identifizieren. Achten Sie auf ungewöhnliche Verhaltensweisen oder Anomalien.
Metadaten überprüfen: Überprüfen Sie die Metadaten der pcap-Datei, wie z.B. den Ersteller, das Erstellungsdatum und die Dateigröße. Diese Informationen können bei der forensischen Analyse hilfreich sein.
Durch die Überprüfung der pcap-Datei können Sie wertvolle Informationen über den Netzwerkverkehr gewinnen und möglicherweise Angriffe oder Sicherheitsverletzungen erkennen.
YaraPcap
YaraPCAP ist ein Tool, das Folgendes tut:
Liest eine PCAP-Datei und extrahiert HTTP-Streams.
Entpackt komprimierte Streams mit gzip.
Durchsucht jede Datei mit Yara.
Schreibt einen report.txt.
Speichert optional übereinstimmende Dateien in einem Verzeichnis.
Malware-Analyse
Überprüfen Sie, ob Sie einen Fingerabdruck einer bekannten Malware finden können:
pageMalware AnalysisZeek
Zeek ist ein passiver, Open-Source-Netzwerkverkehrsanalysator. Viele Betreiber verwenden Zeek als Netzwerksicherheitsmonitor (NSM), um Untersuchungen zu verdächtigen oder bösartigen Aktivitäten zu unterstützen. Zeek unterstützt auch eine Vielzahl von Verkehrsanalyseaufgaben jenseits des Sicherheitsbereichs, einschließlich Leistungsmessung und Fehlerbehebung.
Grundsätzlich sind die von zeek
erstellten Protokolle keine pcaps. Daher müssen Sie andere Tools verwenden, um die Protokolle zu analysieren, in denen sich die Informationen über die pcaps befinden.
Verbindungsinfo
DNS-Informationen
DNS (Domain Name System) ist ein grundlegender Bestandteil des Internets, der für die Auflösung von Domainnamen in IP-Adressen verantwortlich ist. Bei der Untersuchung von PCAP-Dateien können DNS-Informationen wertvolle Einblicke liefern. Hier sind einige nützliche Techniken, um DNS-Informationen aus PCAP-Dateien zu extrahieren:
DNS-Anfragen und -Antworten filtern
Verwenden Sie Filter, um nur DNS-Anfragen und -Antworten anzuzeigen. Dies kann Ihnen helfen, den Datenverkehr zu reduzieren und sich auf relevante Informationen zu konzentrieren.
DNS-Anfragen analysieren
Analysieren Sie die DNS-Anfragen, um Informationen über die angeforderten Domains zu erhalten. Dies kann Ihnen helfen, verdächtige Aktivitäten oder ungewöhnliche Muster zu erkennen.
DNS-Antworten analysieren
Analysieren Sie die DNS-Antworten, um Informationen über die aufgelösten IP-Adressen zu erhalten. Dies kann Ihnen helfen, potenzielle Ziele oder Kommunikationskanäle zu identifizieren.
DNS-Cache analysieren
Analysieren Sie den DNS-Cache, um Informationen über zuvor aufgelöste Domains zu erhalten. Dies kann Ihnen helfen, historische Aktivitäten zu untersuchen und mögliche Angriffsziele zu identifizieren.
DNS-Verkehr visualisieren
Visualisieren Sie den DNS-Verkehr, um Muster oder Anomalien zu erkennen. Dies kann Ihnen helfen, Zusammenhänge zwischen verschiedenen Domains oder IP-Adressen zu verstehen.
Die Analyse von DNS-Informationen kann bei der forensischen Untersuchung von PCAP-Dateien äußerst nützlich sein, um verdächtige Aktivitäten zu erkennen und mögliche Sicherheitsverletzungen aufzudecken.
Weitere Tricks zur Analyse von PCAP-Dateien
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON ist die relevanteste Cybersicherheitsveranstaltung in Spanien und eine der wichtigsten in Europa. Mit dem Ziel, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersicherheitsprofis in jeder Disziplin.
Last updated