Pcap Inspection
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Uma nota sobre PCAP vs PCAPNG: existem duas versões do formato de arquivo PCAP; PCAPNG é mais recente e não é suportado por todas as ferramentas. Você pode precisar converter um arquivo de PCAPNG para PCAP usando o Wireshark ou outra ferramenta compatível, para trabalhar com ele em algumas outras ferramentas.
Ferramentas online para pcaps
Se o cabeçalho do seu pcap estiver corrompido, você deve tentar corrigi-lo usando: http://f00l.de/hacking/pcapfix.php
Extraia informações e procure por malware dentro de um pcap em PacketTotal
Procure por atividade maliciosa usando www.virustotal.com e www.hybrid-analysis.com
Extrair Informações
As seguintes ferramentas são úteis para extrair estatísticas, arquivos, etc.
Wireshark
Se você for analisar um PCAP, basicamente deve saber como usar o Wireshark
Você pode encontrar alguns truques do Wireshark em:
pageWireshark tricksXplico Framework
Xplico (apenas linux) pode analisar um pcap e extrair informações dele. Por exemplo, a partir de um arquivo pcap, o Xplico extrai cada e-mail (protocolos POP, IMAP e SMTP), todos os conteúdos HTTP, cada chamada VoIP (SIP), FTP, TFTP, e assim por diante.
Instalar
Executar
Acesse 127.0.0.1:9876 com credenciais xplico:xplico
Em seguida, crie um novo caso, crie uma nova sessão dentro do caso e faça upload do arquivo pcap.
NetworkMiner
Assim como o Xplico, é uma ferramenta para analisar e extrair objetos de pcaps. Possui uma edição gratuita que você pode baixar aqui. Funciona com Windows. Esta ferramenta também é útil para obter outras informações analisadas dos pacotes para poder saber o que estava acontecendo de forma mais rápida.
NetWitness Investigator
Você pode baixar o NetWitness Investigator aqui (Funciona no Windows). Esta é outra ferramenta útil que analisa os pacotes e organiza as informações de forma útil para saber o que está acontecendo internamente.
Extrair e codificar nomes de usuário e senhas (HTTP, FTP, Telnet, IMAP, SMTP...)
Extrair hashes de autenticação e quebrá-los usando o Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Construir um diagrama visual de rede (Nós de rede e usuários)
Extrair consultas DNS
Reconstruir todas as sessões TCP & UDP
Esculpir arquivos
Capinfos
Ngrep
Se você está procurando por algo dentro do pcap, você pode usar o ngrep. Aqui está um exemplo usando os filtros principais:
Esculpir
O uso de técnicas comuns de escultura pode ser útil para extrair arquivos e informações do pcap:
pageFile/Data Carving & Recovery ToolsCapturando credenciais
Você pode usar ferramentas como https://github.com/lgandx/PCredz para analisar credenciais de um pcap ou de uma interface ao vivo.
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Verificar Exploits/Malware
Suricata
Instalação e configuração
Verificar pcap
YaraPcap
YaraPCAP é uma ferramenta que
Lê um arquivo PCAP e extrai fluxos Http.
Descomprime qualquer fluxo comprimido com gzip.
Escaneia cada arquivo com yara.
Escreve um report.txt.
Opcionalmente salva arquivos correspondentes em um diretório.
Análise de Malware
Verifique se consegue encontrar alguma impressão digital de um malware conhecido:
pageMalware AnalysisZeek
Zeek é um analisador de tráfego de rede passivo e de código aberto. Muitos operadores usam o Zeek como um Monitor de Segurança de Rede (NSM) para apoiar investigações de atividades suspeitas ou maliciosas. O Zeek também suporta uma ampla gama de tarefas de análise de tráfego além do domínio de segurança, incluindo medição de desempenho e solução de problemas.
Basicamente, os logs criados pelo zeek
não são pcaps. Portanto, você precisará usar outras ferramentas para analisar os logs onde as informações sobre os pcaps estão.
Informações de DNS
Outros truques de análise de pcap
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON é o evento de cibersegurança mais relevante na Espanha e um dos mais importantes na Europa. Com a missão de promover conhecimento técnico, este congresso é um ponto de encontro fervilhante para profissionais de tecnologia e cibersegurança em todas as disciplinas.
Last updated