Wireshark tricks
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malwaren kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihren Dienst kostenlos ausprobieren unter:
Verbessern Sie Ihre Wireshark-Fähigkeiten
Tutorials
Die folgenden Tutorials sind großartig, um einige coole grundlegende Tricks zu lernen:
Analysierte Informationen
Experteninformationen
Durch Klicken auf Analysieren --> Experteninformationen erhalten Sie einen Überblick darüber, was in den analysierten Paketen passiert:
Gelöste Adressen
Unter Statistik --> Gelöste Adressen finden Sie verschiedene Informationen, die von Wireshark "gelöst" wurden, wie Port/Transport zu Protokoll, MAC-Adresse zum Hersteller usw. Es ist interessant zu wissen, was in der Kommunikation involviert ist.
Protokollhierarchie
Unter Statistik --> Protokollhierarchie finden Sie die Protokolle, die an der Kommunikation beteiligt sind, und Informationen über sie.
Unterhaltungen
Unter Statistik --> Unterhaltungen finden Sie eine Zusammenfassung der Unterhaltungen in der Kommunikation und Informationen darüber.
Endpunkte
Unter Statistik --> Endpunkte finden Sie eine Zusammenfassung der Endpunkte in der Kommunikation und Informationen zu jedem von ihnen.
DNS-Informationen
Unter Statistik --> DNS finden Sie Statistiken zu den erfassten DNS-Anfragen.
I/O-Graph
Unter Statistik --> I/O-Graph finden Sie einen Graphen der Kommunikation.
Filter
Hier finden Sie Wireshark-Filter je nach Protokoll: https://www.wireshark.org/docs/dfref/ Andere interessante Filter:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
HTTP- und anfänglicher HTTPS-Verkehr + TCP SYN + DNS-Anfragen
Suche
Wenn Sie nach Inhalten innerhalb der Pakete der Sitzungen suchen möchten, drücken Sie Strg+f. Sie können der Hauptinformationsleiste neue Layer hinzufügen (Nr., Zeit, Quelle usw.), indem Sie die rechte Maustaste drücken und dann die Spalte bearbeiten.
Kostenlose pcap-Labore
Üben Sie mit den kostenlosen Herausforderungen von: https://www.malware-traffic-analysis.net/
Identifizierung von Domains
Sie können eine Spalte hinzufügen, die den Host-HTTP-Header anzeigt:
Und eine Spalte hinzufügen, die den Servernamen einer initiierenden HTTPS-Verbindung hinzufügt (ssl.handshake.type == 1):
Identifizierung lokaler Hostnamen
Aus DHCP
In der aktuellen Wireshark-Version müssen Sie anstelle von bootp
nach DHCP
suchen
Aus NBNS
Entschlüsselung von TLS
Entschlüsselung des HTTPS-Verkehrs mit dem privaten Serverschlüssel
Bearbeiten > Einstellungen > Protokoll > SSL >
Klicken Sie auf Bearbeiten und fügen Sie alle Daten des Servers und des privaten Schlüssels hinzu (IP, Port, Protokoll, Schlüsseldatei und Passwort)
Entschlüsselung des HTTPS-Verkehrs mit symmetrischen Sitzungsschlüsseln
Sowohl Firefox als auch Chrome haben die Möglichkeit, TLS-Sitzungsschlüssel zu protokollieren, die mit Wireshark zur Entschlüsselung des TLS-Verkehrs verwendet werden können. Dies ermöglicht eine eingehende Analyse sicherer Kommunikation. Weitere Details zur Durchführung dieser Entschlüsselung finden Sie in einem Leitfaden bei Red Flag Security.
Um dies zu erkennen, suchen Sie in der Umgebung nach der Variablen SSLKEYLOGFILE
Eine Datei mit gemeinsamen Schlüsseln sieht so aus:
Um dies in Wireshark zu importieren, gehen Sie zu Bearbeiten > Einstellungen > Protokoll > SSL > und importieren Sie es in (Pre)-Master-Secret-Logdateiname:
ADB-Kommunikation
Extrahiere eine APK aus einer ADB-Kommunikation, bei der die APK gesendet wurde:
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihre Engine kostenlos ausprobieren unter:
Last updated