Wireshark tricks
WhiteIntel to wyszukiwarka zasilana przez dark web, która oferuje darmowe funkcje do sprawdzania, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące informacje.
Ich głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.
Możesz sprawdzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Doskonalenie umiejętności z Wireshark
Tutoriale
Następujące tutoriale są niesamowite do nauki kilku fajnych podstawowych sztuczek:
Analizowane informacje
Informacje eksperta
Klikając na Analyze --> Expert Information otrzymasz przegląd tego, co dzieje się w analizowanych pakietach:
Rozwiązane adresy
Pod Statistics --> Resolved Addresses znajdziesz kilka informacji, które zostały "rozwiązane" przez Wireshark, takie jak port/transport do protokołu, MAC do producenta, itp. Interesujące jest poznanie, co jest zaangażowane w komunikacji.
Hierarchia protokołów
Pod Statistics --> Protocol Hierarchy znajdziesz protokoły zaangażowane w komunikacji oraz dane na ich temat.
Konwersacje
Pod Statistics --> Conversations znajdziesz podsumowanie konwersacji w komunikacji oraz dane na ich temat.
Końcówki
Pod Statistics --> Endpoints znajdziesz podsumowanie końcówek w komunikacji oraz dane na ich temat.
Informacje DNS
Pod Statistics --> DNS znajdziesz statystyki dotyczące przechwyconych żądań DNS.
Wykres I/O
Pod Statistics --> I/O Graph znajdziesz wykres komunikacji.
Filtrowanie
Tutaj znajdziesz filtr Wireshark w zależności od protokołu: https://www.wireshark.org/docs/dfref/ Inne interesujące filtry:
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900)
Ruch HTTP i początkowy ruch HTTPS
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
Ruch HTTP i początkowy ruch HTTPS + SYN TCP
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
Ruch HTTP i początkowy ruch HTTPS + SYN TCP + żądania DNS
Wyszukiwanie
Jeśli chcesz wyszukać treść w pakietach sesji, naciśnij CTRL+f. Możesz dodać nowe warstwy do głównego paska informacji (Nr, Czas, Źródło, itp.) naciskając prawym przyciskiem myszy, a następnie edytuj kolumnę.
Darmowe laboratoria pcap
Ćwicz z darmowymi wyzwaniami na stronie: https://www.malware-traffic-analysis.net/
Identyfikacja domen
Możesz dodać kolumnę, która pokazuje nagłówek Host HTTP:
I kolumnę, która dodaje nazwę serwera z inicjującego połączenia HTTPS (ssl.handshake.type == 1):
Identyfikacja nazw lokalnych hostów
Z DHCP
W bieżącym Wiresharku zamiast bootp
musisz szukać DHCP
Z NBNS
Deszyfrowanie TLS
Deszyfrowanie ruchu https za pomocą prywatnego klucza serwera
edytuj>preferencje>protokół>ssl>
Naciśnij Edytuj i dodaj wszystkie dane serwera oraz klucza prywatnego (IP, Port, Protokół, Plik klucza i hasło)
Deszyfrowanie ruchu https za pomocą kluczy sesji symetrycznych
Zarówno Firefox, jak i Chrome mają możliwość rejestrowania kluczy sesji TLS, które można użyć z Wiresharkiem do deszyfrowania ruchu TLS. Pozwala to na dogłębną analizę komunikacji zabezpieczonej. Więcej szczegółów na temat wykonywania tego deszyfrowania można znaleźć w przewodniku na stronie Red Flag Security.
Aby to wykryć, wyszukaj w środowisku zmienną SSLKEYLOGFILE
Plik z kluczami współdzielonymi będzie wyglądał tak:
Aby zaimportować to do Wiresharka, przejdź do _edytuj > preferencje > protokół > ssl > i zaimportuj to w (Pre)-Master-Secret log filename:
Komunikacja ADB
Wyodrębnij plik APK z komunikacji ADB, w której został wysłany plik APK:
WhiteIntel to wyszukiwarka zasilana przez dark web, która oferuje darmowe funkcje do sprawdzenia, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące dane.
Ich głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z złośliwego oprogramowania kradnącego informacje.
Możesz odwiedzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Last updated