Pcap Inspection
RootedCONはスペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパでも最も重要なイベントの1つです。技術知識の促進を使命とするこの会議は、あらゆる分野のテクノロジーとサイバーセキュリティ専門家の熱い出会いの場です。
PCAPとPCAPNGについての注意:PCAPファイル形式には2つのバージョンがあります。PCAPNGは新しいバージョンであり、すべてのツールでサポートされていません。他のツールで使用するために、一部のツールで動作するようにPCAPNGファイルをPCAPに変換する必要があるかもしれません。
Pcap用のオンラインツール
Pcapのヘッダーが壊れている場合は、http://f00l.de/hacking/pcapfix.phpを使用して修正してみてください。
Pcap内の情報を抽出し、マルウェアを検索するには、PacketTotalを使用します。
www.virustotal.comおよびwww.hybrid-analysis.comを使用して、悪意のある活動を検索します。
情報の抽出
次のツールは、統計情報、ファイルなどを抽出するのに役立ちます。
Wireshark
PCAPを分析する場合、基本的にWiresharkの使用方法を知っている必要があります
Wiresharkのトリックは次の場所で見つけることができます:
pageWireshark tricksXplico Framework
Xplico (Linuxのみ)は、pcapを分析し、その情報を抽出できます。たとえば、pcapファイルからXplicoは、各電子メール(POP、IMAP、およびSMTPプロトコル)、すべてのHTTPコンテンツ、各VoIP通話(SIP)、FTP、TFTPなどを抽出します。
インストール
実行
アクセスは_127.0.0.1:9876、資格情報はxplico:xplico_で行います。
次に新しいケースを作成し、そのケース内に新しいセッションを作成し、pcapファイルをアップロードしてください。
NetworkMiner
Xplicoと同様に、pcapからオブジェクトを解析および抽出するツールです。こちら から無料版をダウンロードできます。Windowsと互換性があります。 このツールは、パケットから他の情報を取得し、より迅速に何が起こっていたのかを知るのに役立ちます。
NetWitness Investigator
こちら からNetWitness Investigatorをダウンロードできます(Windowsで動作します)。 これは、パケットを解析し、情報を整理して内部で何が起こっているかを把握するのに役立つ別の便利なツールです。
ユーザー名とパスワードの抽出とエンコード(HTTP、FTP、Telnet、IMAP、SMTP...)
認証ハッシュの抽出とHashcatを使用してクラック(Kerberos、NTLM、CRAM-MD5、HTTP-Digest...)
ビジュアルネットワークダイアグラムの作成(ネットワークノード&ユーザー)
DNSクエリの抽出
すべてのTCPおよびUDPセッションの再構築
ファイルの彫刻
Capinfos
Ngrep
pcap内で何かを探している場合は、ngrepを使用できます。以下は、主なフィルターを使用した例です:
Carving
一般的なカービング技術を使用して、pcap からファイルや情報を抽出するのに役立ちます:
pageFile/Data Carving & Recovery Tools資格情報のキャプチャ
https://github.com/lgandx/PCredz のようなツールを使用して、pcap またはライブインターフェースから資格情報を解析できます。
RootedCON は スペイン で最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパ でも最も重要なイベントの一つです。技術知識の促進を使命 とするこの会議は、あらゆる分野のテクノロジーとサイバーセキュリティ専門家にとっての熱い出会いの場です。
Exploits/Malware のチェック
Suricata
インストールとセットアップ
PCAPの確認
YaraPcap
YaraPCAPは次のことを行うツールです。
PCAPファイルを読み取り、HTTPストリームを抽出します。
圧縮されたストリームをgzipで解凍します。
すべてのファイルをyaraでスキャンします。
report.txtを書き込みます。
オプションで一致するファイルをディレクトリに保存します。
Malware Analysis
既知のマルウェアの指紋を見つけることができるかどうかを確認してください:
pageMalware AnalysisZeek
Zeekは、受動的なオープンソースのネットワークトラフィックアナライザーです。多くのオペレーターは、疑わしいまたは悪意のある活動の調査をサポートするために、Zeekをネットワークセキュリティモニター(NSM)として使用しています。 Zeekは、セキュリティ領域を超えたさまざまなトラフィック分析タスクをサポートしており、パフォーマンス測定やトラブルシューティングも含まれています。
基本的に、zeek
によって作成されたログはpcapではありません。したがって、pcapsに関する情報が含まれているログを分析するためには、他のツールを使用する必要があります。
DNS情報
その他のpcap分析のテクニック
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCONはスペインで最も関連性の高いサイバーセキュリティイベントであり、ヨーロッパでも最も重要なイベントの一つです。技術的知識の促進を使命とするこの会議は、あらゆる分野のテクノロジーとサイバーセキュリティ専門家にとっての熱い出会いの場です。
Last updated