Pcap Inspection
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i bezbednosnih stručnjaka u svakoj disciplini.
Napomena o PCAP vs PCAPNG: postoje dve verzije PCAP formata; PCAPNG je noviji i nije podržan od svih alata. Možda ćete morati da konvertujete fajl iz PCAPNG u PCAP koristeći Wireshark ili neki drugi kompatibilni alat, kako biste radili sa njim u nekim drugim alatima.
Online alati za pcap fajlove
Ako je zaglavlje vašeg pcap fajla oštećeno, trebalo bi da pokušate da ga popravite koristeći: http://f00l.de/hacking/pcapfix.php
Izvucite informacije i tražite malver unutar pcap fajla na PacketTotal
Tražite zlonamerne aktivnosti koristeći www.virustotal.com i www.hybrid-analysis.com
Izdvajanje informacija
Sledeći alati su korisni za izdvajanje statistika, fajlova, itd.
Wireshark
Ako ćete analizirati PCAP fajl, osnovno je da znate kako koristiti Wireshark
Možete pronaći neke trikove za Wireshark u:
pageWireshark tricksXplico Framework
Xplico (samo za linux) može analizirati pcap fajl i izvući informacije iz njega. Na primer, iz pcap fajla Xplico izvlači svaki email (POP, IMAP i SMTP protokoli), sve HTTP sadržaje, svaki VoIP poziv (SIP), FTP, TFTP, i tako dalje.
Instalacija
Pokreni
Pristupite 127.0.0.1:9876 sa pristupnim podacima xplico:xplico
Zatim kreirajte novi slučaj, napravite novu sesiju unutar slučaja i učitajte pcap datoteku.
NetworkMiner
Kao i Xplico, ovo je alat za analizu i izdvajanje objekata iz pcap-ova. Ima besplatno izdanje koje možete preuzeti ovde. Radi sa Windows-om. Ovaj alat je takođe koristan za dobijanje ostalih informacija analiziranih iz paketa kako biste mogli znati šta se dešavalo na brži način.
NetWitness Investigator
Možete preuzeti NetWitness Investigator ovde (Radi na Windows-u). Ovo je još jedan koristan alat koji analizira pakete i sortira informacije na koristan način kako biste znali šta se dešava unutra.
Izdvajanje i enkodiranje korisničkih imena i lozinki (HTTP, FTP, Telnet, IMAP, SMTP...)
Izdvajanje autentifikacionih heševa i njihovo pucanje korišćenjem Hashcat-a (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Izgradnja vizuelnog dijagrama mreže (Mrežni čvorovi & korisnici)
Izdvajanje DNS upita
Rekonstrukcija svih TCP & UDP sesija
Rezanje datoteka
Capinfos
Ngrep
Ako tražite nešto unutar pcap datoteke, možete koristiti ngrep. Evo primera korišćenja osnovnih filtera:
Rezanje
Korišćenje uobičajenih tehnika rezanja može biti korisno za izvlačenje datoteka i informacija iz pcap datoteke:
pageFile/Data Carving & Recovery ToolsSnimanje akreditacija
Možete koristiti alate poput https://github.com/lgandx/PCredz za parsiranje akreditacija iz pcap datoteke ili sa živog interfejsa.
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i stručnjaka za kibernetičku bezbednost u svakoj disciplini.
Provera Eksploatacija/Malvera
Surikata
Instalacija i podešavanje
Provera pcap-a
YaraPcap
YaraPCAP je alatka koja
Čita PCAP datoteku i izvlači HTTP tokove.
gzip dekompresuje bilo koje kompresovane tokove
Skenira svaku datoteku pomoću yara
Piše izveštaj.txt
Opciono čuva podudarne datoteke u direktorijumu
Analiza Malvera
Proverite da li možete pronaći bilo kakav otisak poznatog malvera:
pageMalware AnalysisZeek
Zeek je pasivni, open-source analizator saobraćaja na mreži. Mnogi operateri koriste Zeek kao Monitor za bezbednost mreže (NSM) kako bi podržali istrage sumnjive ili zlonamerne aktivnosti. Zeek takođe podržava širok spektar zadataka analize saobraćaja izvan domena bezbednosti, uključujući merenje performansi i rešavanje problema.
U osnovi, zapisi kreirani pomoću zeek
nisu pcap datoteke. Stoga će vam biti potrebni drugi alati za analizu zapisa gde se nalaze informacije o pcap datotekama.
DNS informacije
Ostale trikove analize pcap-a
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON je najrelevantniji događaj u oblasti kibernetičke bezbednosti u Španiji i jedan od najvažnijih u Evropi. Sa misijom promovisanja tehničkog znanja, ovaj kongres je ključno mesto susreta tehnoloških i stručnjaka za kibernetičku bezbednost u svakoj disciplini.
Last updated