Wireshark tricks
WhiteIntel είναι μια μηχανή αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλων λογισμικών.
Ο βασικός στόχος του WhiteIntel είναι η καταπολέμηση των αναλήψεων λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κλοπή πληροφοριών.
Μπορείτε να ελέγξετε τον ιστότοπό τους και να δοκιμάσετε τη μηχανή τους δωρεάν στο:
Βελτιώστε τις δεξιότητές σας στο Wireshark
Οδηγοί
Οι ακόλουθοι οδηγοί είναι εκπληκτικοί για να μάθετε μερικά ψυχαγωγικά βασικά κόλπα:
Αναλυμένες Πληροφορίες
Ειδικές Πληροφορίες
Κάνοντας κλικ σε Ανάλυση --> Ειδικές Πληροφορίες θα έχετε μια επισκόπηση του τι συμβαίνει στα αναλυμένα πακέτα:
Επιλυμένες Διευθύνσεις
Κάτω από Στατιστικά --> Επιλυμένες Διευθύνσεις μπορείτε να βρείτε πολλές πληροφορίες που έχουν "επιλυθεί" από το wireshark όπως θύρα/μεταφορά σε πρωτόκολλο, MAC στον κατασκευαστή, κλπ. Είναι ενδιαφέρον να γνωρίζετε τι εμπλέκεται στην επικοινωνία.
Ιεραρχία Πρωτοκόλλου
Κάτω από Στατιστικά --> Ιεραρχία Πρωτοκόλλου μπορείτε να βρείτε τα πρωτόκολλα που εμπλέκονται στην επικοινωνία και δεδομένα σχετικά με αυτά.
Συνομιλίες
Κάτω από Στατιστικά --> Συνομιλίες μπορείτε να βρείτε ένα σύνολο των συνομιλιών στην επικοινωνία και δεδομένα σχετικά με αυτές.
Ακραίες Σημεία
Κάτω από Στατιστικά --> Ακραία Σημεία μπορείτε να βρείτε ένα σύνολο των ακραίων σημείων στην επικοινωνία και δεδομένα για καθένα από αυτά.
Πληροφορίες DNS
Κάτω από Στατιστικά --> DNS μπορείτε να βρείτε στατιστικά σχετικά με τα καταγεγραμμένα αιτήματα DNS.
Γράφημα I/O
Κάτω από Στατιστικά --> Γράφημα I/O μπορείτε να βρείτε ένα γράφημα της επικοινωνίας.
Φίλτρα
Εδώ μπορείτε να βρείτε φίλτρα wireshark ανάλογα με το πρωτόκολλο: https://www.wireshark.org/docs/dfref/ Άλλα ενδιαφέροντα φίλτρα:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Κίνηση HTTP και αρχική κίνηση HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Κίνηση HTTP και αρχική κίνηση HTTPS + TCP SYN
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Κίνηση HTTP και αρχική κίνηση HTTPS + TCP SYN + αιτήσεις DNS
Αναζήτηση
Αν θέλετε να αναζητήσετε περιεχόμενο μέσα στα πακέτα των συνεδριών πατήστε CTRL+f. Μπορείτε να προσθέσετε νέα επίπεδα στην κύρια γραμμή πληροφοριών (Αρ., Χρόνος, Πηγή, κλπ.) πατώντας το δεξί κουμπί και στη συνέχεια την επεξεργασία στήλης.
Δωρεάν εργαστήρια pcap
Εξάσκηση με τις δωρεάν προκλήσεις του: https://www.malware-traffic-analysis.net/
Αναγνώριση Domain
Μπορείτε να προσθέσετε μια στήλη που εμφανίζει τον Κεφαλίδα Κεφαλίδας HTTP:
Και μια στήλη που προσθέτει το όνομα Διακομιστή από μια αρχική σύνδεση HTTPS (ssl.handshake.type == 1):
Αναγνώριση τοπικών ονομάτων υπολογιστή
Από DHCP
Στο τρέχον Wireshark αντί για bootp
πρέπει να αναζητήσετε το DHCP
Από NBNS
Αποκρυπτογράφηση TLS
Αποκρυπτογράφηση κίνησης https με ιδιωτικό κλειδί διακομιστή
επεξεργασία>προτίμηση>πρωτόκολλο>ssl>
Πατήστε Επεξεργασία και προσθέστε όλα τα δεδομένα του διακομιστή και το ιδιωτικό κλειδί (IP, Θύρα, Πρωτόκολλο, Αρχείο κλειδιού και κωδικό πρόσβασης)
Αποκρυπτογράφηση κίνησης https με συμμετρικά κλειδιά συνεδρίας
Τόσο ο Firefox όσο και ο Chrome έχουν τη δυνατότητα να καταγράφουν τα κλειδιά συνεδρίας TLS, τα οποία μπορούν να χρησιμοποιηθούν με το Wireshark για την αποκρυπτογράφηση της κίνησης TLS. Αυτό επιτρέπει την ανάλυση των ασφαλών επικοινωνιών. Περισσότερες λεπτομέρειες για το πώς να εκτελέσετε αυτήν την αποκρυπτογράφηση μπορείτε να βρείτε σε οδηγό στο Red Flag Security.
Για να ανιχνεύσετε αυτό αναζητήστε μέ
ADB επικοινωνία
Εξαγωγή ενός APK από μια ADB επικοινωνία όπου το APK στάλθηκε:
WhiteIntel είναι ένας μηχανισμός αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλων λογισμικών.
Ο κύριος στόχος του WhiteIntel είναι η καταπολέμηση των αναλήψεων λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κακόβουλα λογισμικά που κλέβουν πληροφορίες.
Μπορείτε να ελέγξετε την ιστοσελίδα τους και να δοκιμάσετε τον μηχανισμό τους δωρεάν στο:
Last updated