Wireshark tricks
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba informazioni.
Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi controllare il loro sito web e provare il loro motore gratuitamente su:
Migliora le tue abilità di Wireshark
Tutorial
I seguenti tutorial sono fantastici per imparare alcuni trucchi di base interessanti:
Informazioni Analizzate
Informazioni Esperte
Cliccando su Analyze --> Expert Information avrai una panoramica di cosa sta accadendo nei pacchetti analizzati:
Indirizzi Risolti
Sotto Statistics --> Resolved Addresses puoi trovare diverse informazioni che sono state "risolte" da Wireshark come porta/trasporto a protocollo, MAC al produttore, ecc. È interessante sapere cosa è coinvolto nella comunicazione.
Gerarchia dei Protocolli
Sotto Statistics --> Protocol Hierarchy puoi trovare i protocolli coinvolti nella comunicazione e dati su di essi.
Conversazioni
Sotto Statistics --> Conversations puoi trovare un riassunto delle conversazioni nella comunicazione e dati su di esse.
Endpoint
Sotto Statistics --> Endpoints puoi trovare un riassunto degli endpoint nella comunicazione e dati su ciascuno di essi.
Informazioni DNS
Sotto Statistics --> DNS puoi trovare statistiche sulla richiesta DNS catturata.
Grafico I/O
Sotto Statistics --> I/O Graph puoi trovare un grafico della comunicazione.
Filtri
Qui puoi trovare filtri di Wireshark in base al protocollo: https://www.wireshark.org/docs/dfref/ Altri filtri interessanti:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale + SYN TCP
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Traffico HTTP e HTTPS iniziale + SYN TCP + richieste DNS
Ricerca
Se vuoi cercare contenuti all'interno dei pacchetti delle sessioni premi CTRL+f. Puoi aggiungere nuovi livelli alla barra delle informazioni principali (No., Tempo, Sorgente, ecc.) premendo il pulsante destro e quindi modifica colonna.
Laboratori pcap gratuiti
Pratica con le sfide gratuite di: https://www.malware-traffic-analysis.net/
Identificare i Domini
Puoi aggiungere una colonna che mostra l'intestazione Host HTTP:
E una colonna che aggiunge il nome del server da una connessione HTTPS iniziale (ssl.handshake.type == 1):
Identificare i nomi host locali
Da DHCP
Nel Wireshark attuale invece di bootp
devi cercare DHCP
Da NBNS
Decrittazione TLS
Decrittare il traffico https con la chiave privata del server
modifica>preferenze>protocollo>ssl>
Premi Modifica e aggiungi tutti i dati del server e la chiave privata (IP, Porta, Protocollo, File chiave e password)
Decrittare il traffico https con chiavi di sessione simmetriche
Sia Firefox che Chrome hanno la capacità di registrare le chiavi di sessione TLS, che possono essere utilizzate con Wireshark per decrittare il traffico TLS. Questo consente un'analisi approfondita delle comunicazioni sicure. Ulteriori dettagli su come eseguire questa decrittazione possono essere trovati in una guida su Red Flag Security.
Per individuare questo cerca all'interno dell'ambiente la variabile SSLKEYLOGFILE
Un file di chiavi condivise apparirà così:
Per importarlo in Wireshark vai a _modifica > preferenze > protocollo > ssl > e importalo in (Pre)-Master-Secret log filename:
Comunicazione ADB
Estrarre un APK da una comunicazione ADB in cui l'APK è stato inviato:
WhiteIntel è un motore di ricerca alimentato dal dark web che offre funzionalità gratuite per verificare se un'azienda o i suoi clienti sono stati compromessi da malware ruba-informazioni.
Il loro obiettivo principale di WhiteIntel è combattere i takeover di account e gli attacchi ransomware derivanti da malware che rubano informazioni.
Puoi visitare il loro sito web e provare il loro motore gratuitamente su:
Last updated