WhiteIntel

WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba informazioni.

Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.

Puoi controllare il loro sito web e provare il loro motore gratuitamente su:

WhiteIntel

Migliora le tue abilità di Wireshark

Tutorial

I seguenti tutorial sono fantastici per imparare alcuni trucchi di base interessanti:

• https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/

• https://unit42.paloaltonetworks.com/using-wireshark-display-filter-expressions/

• https://unit42.paloaltonetworks.com/using-wireshark-identifying-hosts-and-users/

• https://unit42.paloaltonetworks.com/using-wireshark-exporting-objects-from-a-pcap/

Informazioni Analizzate

Informazioni Esperte

Cliccando su Analyze --> Expert Information avrai una panoramica di cosa sta accadendo nei pacchetti analizzati:

Indirizzi Risolti

Sotto Statistics --> Resolved Addresses puoi trovare diverse informazioni che sono state "risolte" da Wireshark come porta/trasporto a protocollo, MAC al produttore, ecc. È interessante sapere cosa è coinvolto nella comunicazione.

Gerarchia dei Protocolli

Sotto Statistics --> Protocol Hierarchy puoi trovare i protocolli coinvolti nella comunicazione e dati su di essi.

Conversazioni

Sotto Statistics --> Conversations puoi trovare un riassunto delle conversazioni nella comunicazione e dati su di esse.

Endpoint

Sotto Statistics --> Endpoints puoi trovare un riassunto degli endpoint nella comunicazione e dati su ciascuno di essi.

Informazioni DNS

Sotto Statistics --> DNS puoi trovare statistiche sulla richiesta DNS catturata.

Grafico I/O

Sotto Statistics --> I/O Graph puoi trovare un grafico della comunicazione.

Filtri

Qui puoi trovare filtri di Wireshark in base al protocollo: https://www.wireshark.org/docs/dfref/ Altri filtri interessanti:

• (http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)

• Traffico HTTP e HTTPS iniziale

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)

• Traffico HTTP e HTTPS iniziale + SYN TCP

• (http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)

• Traffico HTTP e HTTPS iniziale + SYN TCP + richieste DNS

Ricerca

Se vuoi cercare contenuti all'interno dei pacchetti delle sessioni premi CTRL+f. Puoi aggiungere nuovi livelli alla barra delle informazioni principali (No., Tempo, Sorgente, ecc.) premendo il pulsante destro e quindi modifica colonna.

Laboratori pcap gratuiti

Pratica con le sfide gratuite di: https://www.malware-traffic-analysis.net/

Identificare i Domini

Puoi aggiungere una colonna che mostra l'intestazione Host HTTP:

E una colonna che aggiunge il nome del server da una connessione HTTPS iniziale (ssl.handshake.type == 1):

Identificare i nomi host locali

Da DHCP

Nel Wireshark attuale invece di bootp devi cercare DHCP

Da NBNS

Decrittazione TLS

Decrittare il traffico https con la chiave privata del server

modifica>preferenze>protocollo>ssl>

Premi Modifica e aggiungi tutti i dati del server e la chiave privata (IP, Porta, Protocollo, File chiave e password)

Decrittare il traffico https con chiavi di sessione simmetriche

Sia Firefox che Chrome hanno la capacità di registrare le chiavi di sessione TLS, che possono essere utilizzate con Wireshark per decrittare il traffico TLS. Questo consente un'analisi approfondita delle comunicazioni sicure. Ulteriori dettagli su come eseguire questa decrittazione possono essere trovati in una guida su Red Flag Security.

Per individuare questo cerca all'interno dell'ambiente la variabile SSLKEYLOGFILE

Un file di chiavi condivise apparirà così:

Per importarlo in Wireshark vai a _modifica > preferenze > protocollo > ssl > e importalo in (Pre)-Master-Secret log filename:

Comunicazione ADB

Estrarre un APK da una comunicazione ADB in cui l'APK è stato inviato:

from scapy.all import *

pcap = rdpcap("final2.pcapng")

def rm_data(data):
splitted = data.split(b"DATA")
if len(splitted) == 1:
return data
else:
return splitted[0]+splitted[1][4:]

all_bytes = b""
for pkt in pcap:
if Raw in pkt:
a = pkt[Raw]
if b"WRTE" == bytes(a)[:4]:
all_bytes += rm_data(bytes(a)[24:])
else:
all_bytes += rm_data(bytes(a))
print(all_bytes)

f = open('all_bytes.data', 'w+b')
f.write(all_bytes)
f.close()

WhiteIntel

WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.

Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.

Puoi visitare il loro sito web e provare il loro motore gratuitamente su:

WhiteIntel