Pcap Inspection
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.
Una nota sobre PCAP vs PCAPNG: existen dos versiones del formato de archivo PCAP; PCAPNG es más nuevo y no es compatible con todas las herramientas. Es posible que necesites convertir un archivo de PCAPNG a PCAP usando Wireshark u otra herramienta compatible, para poder trabajar con él en algunas otras herramientas.
Herramientas en línea para pcaps
Si el encabezado de tu pcap está dañado debes intentar repararlo usando: http://f00l.de/hacking/pcapfix.php
Extrae información y busca malware dentro de un pcap en PacketTotal
Busca actividad maliciosa utilizando www.virustotal.com y www.hybrid-analysis.com
Extraer Información
Las siguientes herramientas son útiles para extraer estadísticas, archivos, etc.
Wireshark
Si vas a analizar un PCAP básicamente debes saber cómo usar Wireshark
Puedes encontrar algunos trucos de Wireshark en:
pageWireshark tricksMarco Xplico
Xplico (solo linux) puede analizar un pcap y extraer información de él. Por ejemplo, de un archivo pcap, Xplico extrae cada correo electrónico (protocolos POP, IMAP y SMTP), todos los contenidos HTTP, cada llamada VoIP (SIP), FTP, TFTP, y más.
Instalación
Ejecutar
Accede a 127.0.0.1:9876 con las credenciales xplico:xplico
Luego crea un nuevo caso, crea una nueva sesión dentro del caso y sube el archivo pcap.
NetworkMiner
Al igual que Xplico, es una herramienta para analizar y extraer objetos de pcaps. Tiene una edición gratuita que puedes descargar aquí. Funciona con Windows. Esta herramienta también es útil para obtener otra información analizada de los paquetes para poder saber qué estaba sucediendo de una manera más rápida.
NetWitness Investigator
Puedes descargar NetWitness Investigator desde aquí (Funciona en Windows). Esta es otra herramienta útil que analiza los paquetes y ordena la información de una manera útil para saber qué está sucediendo internamente.
Extracción y codificación de nombres de usuario y contraseñas (HTTP, FTP, Telnet, IMAP, SMTP...)
Extracción de hashes de autenticación y crackeo con Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Construcción de un diagrama visual de red (Nodos de red y usuarios)
Extracción de consultas DNS
Reconstrucción de todas las sesiones TCP y UDP
Tallado de archivos
Capinfos
Ngrep
Si estás buscando algo dentro del pcap, puedes usar ngrep. Aquí tienes un ejemplo usando los filtros principales:
Tallado
El uso de técnicas comunes de tallado puede ser útil para extraer archivos e información del pcap:
pageFile/Data Carving & Recovery ToolsCaptura de credenciales
Puedes utilizar herramientas como https://github.com/lgandx/PCredz para analizar credenciales de un pcap o de una interfaz en vivo.
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro crucial para profesionales de tecnología y ciberseguridad en todas las disciplinas.
Verificar Exploits/Malware
Suricata
Instalación y configuración
Verificar pcap
YaraPcap
YaraPCAP es una herramienta que
Lee un archivo PCAP y extrae flujos Http.
Descomprime cualquier flujo comprimido con gzip.
Escanea cada archivo con yara.
Escribe un reporte.txt.
Opcionalmente guarda los archivos coincidentes en un directorio.
Análisis de Malware
Verifica si puedes encontrar alguna huella de un malware conocido:
pageMalware AnalysisZeek
Zeek es un analizador de tráfico de red pasivo y de código abierto. Muchos operadores utilizan Zeek como un Monitor de Seguridad de Red (NSM) para apoyar investigaciones de actividad sospechosa o maliciosa. Zeek también soporta una amplia gama de tareas de análisis de tráfico más allá del dominio de la seguridad, incluyendo medición de rendimiento y resolución de problemas.
Básicamente, los registros creados por zeek
no son pcaps. Por lo tanto, necesitarás utilizar otras herramientas para analizar los registros donde se encuentra la información sobre los pcaps.
Información de DNS
Otros trucos de análisis de pcap
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON es el evento de ciberseguridad más relevante en España y uno de los más importantes en Europa. Con la misión de promover el conocimiento técnico, este congreso es un punto de encuentro clave para profesionales de la tecnología y ciberseguridad en todas las disciplinas.
Última actualización