WhiteIntel

WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malwaren kompromittiert wurden.

Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.

Sie können ihre Website besuchen und ihren Dienst kostenlos ausprobieren unter:

Verbessern Sie Ihre Wireshark-Fähigkeiten

Tutorials

Die folgenden Tutorials sind großartig, um einige coole grundlegende Tricks zu lernen:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Analysierte Informationen

Experteninformationen

Durch Klicken auf Analysieren --> Experteninformationen erhalten Sie einen Überblick darüber, was in den analysierten Paketen passiert:

Gelöste Adressen

Unter Statistik --> Gelöste Adressen finden Sie verschiedene Informationen, die von Wireshark "gelöst" wurden, wie Port/Transport zu Protokoll, MAC-Adresse zum Hersteller usw. Es ist interessant zu wissen, was in der Kommunikation involviert ist.

Protokollhierarchie

Unter Statistik --> Protokollhierarchie finden Sie die Protokolle, die an der Kommunikation beteiligt sind, und Informationen über sie.

Unterhaltungen

Unter Statistik --> Unterhaltungen finden Sie eine Zusammenfassung der Unterhaltungen in der Kommunikation und Informationen darüber.

Endpunkte

Unter Statistik --> Endpunkte finden Sie eine Zusammenfassung der Endpunkte in der Kommunikation und Informationen zu jedem von ihnen.

DNS-Informationen

Unter Statistik --> DNS finden Sie Statistiken zu den erfassten DNS-Anfragen.

I/O-Graph

Unter Statistik --> I/O-Graph finden Sie einen Graphen der Kommunikation.

Filter

Hier finden Sie Wireshark-Filter je nach Protokoll: https://www.wireshark.org/docs/dfref/ Andere interessante Filter:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• HTTP- und anfänglicher HTTPS-Verkehr

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN + DNS-Anfragen

Suche

Wenn Sie nach Inhalten innerhalb der Pakete der Sitzungen suchen möchten, drücken Sie Strg+f. Sie können der Hauptinformationsleiste neue Layer hinzufügen (Nr., Zeit, Quelle usw.), indem Sie die rechte Maustaste drücken und dann die Spalte bearbeiten.

Kostenlose pcap-Labore

Üben Sie mit den kostenlosen Herausforderungen von: https://www.malware-traffic-analysis.net/

Identifizierung von Domains

Sie können eine Spalte hinzufügen, die den Host-HTTP-Header anzeigt:

Und eine Spalte hinzufügen, die den Servernamen einer initiierenden HTTPS-Verbindung hinzufügt (ssl.handshake.type == 1):

Identifizierung lokaler Hostnamen

Aus DHCP

In der aktuellen Wireshark-Version müssen Sie anstelle von bootp nach DHCP suchen

Aus NBNS

Entschlüsselung von TLS

Entschlüsselung des HTTPS-Verkehrs mit dem privaten Serverschlüssel

Bearbeiten > Einstellungen > Protokoll > SSL >

Klicken Sie auf Bearbeiten und fügen Sie alle Daten des Servers und des privaten Schlüssels hinzu (IP, Port, Protokoll, Schlüsseldatei und Passwort)

Entschlüsselung des HTTPS-Verkehrs mit symmetrischen Sitzungsschlüsseln

Sowohl Firefox als auch Chrome haben die Möglichkeit, TLS-Sitzungsschlüssel zu protokollieren, die mit Wireshark zur Entschlüsselung des TLS-Verkehrs verwendet werden können. Dies ermöglicht eine eingehende Analyse sicherer Kommunikation. Weitere Details zur Durchführung dieser Entschlüsselung finden Sie in einem Leitfaden bei Red Flag Security.

Um dies zu erkennen, suchen Sie in der Umgebung nach der Variablen SSLKEYLOGFILE

Eine Datei mit gemeinsamen Schlüsseln sieht so aus:

Um dies in Wireshark zu importieren, gehen Sie zu Bearbeiten > Einstellungen > Protokoll > SSL > und importieren Sie es in (Pre)-Master-Secret-Logdateiname:

ADB-Kommunikation

Extrahiere eine APK aus einer ADB-Kommunikation, bei der die APK gesendet wurde:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.

Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.

Sie können ihre Website besuchen und ihre Engine kostenlos ausprobieren unter: