Pcap Inspection
RootedCON є найважливішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.
Примітка про PCAP та PCAPNG: існує дві версії формату файлів PCAP; PCAPNG є новішим і не підтримується всіма інструментами. Вам може знадобитися конвертувати файл з PCAPNG в PCAP за допомогою Wireshark або іншого сумісного інструменту, щоб працювати з ним в деяких інших інструментах.
Online tools for pcaps
Якщо заголовок вашого pcap пошкоджений, ви повинні спробувати виправити його за допомогою: http://f00l.de/hacking/pcapfix.php
Витягніть інформацію та шукайте шкідливе ПЗ всередині pcap в PacketTotal
Шукайте шкідливу активність за допомогою www.virustotal.com та www.hybrid-analysis.com
Повний аналіз pcap з браузера в https://apackets.com/
Extract Information
Наступні інструменти корисні для витягування статистики, файлів тощо.
Wireshark
Якщо ви збираєтеся аналізувати PCAP, ви в основному повинні знати, як користуватися Wireshark
Ви можете знайти деякі трюки Wireshark у:
Wireshark tricksАналіз pcap з браузера.
Xplico Framework
Xplico (тільки linux) може аналізувати pcap та витягувати інформацію з нього. Наприклад, з файлу pcap Xplico витягує кожен електронний лист (POP, IMAP та SMTP протоколи), весь HTTP контент, кожен VoIP дзвінок (SIP), FTP, TFTP тощо.
Встановіть
Запустити
Доступ до 127.0.0.1:9876 з обліковими даними xplico:xplico
Потім створіть нову справу, створіть нову сесію всередині справи та завантажте pcap файл.
NetworkMiner
Як і Xplico, це інструмент для аналізу та вилучення об'єктів з pcaps. Він має безкоштовну версію, яку ви можете завантажити тут. Він працює на Windows. Цей інструмент також корисний для отримання іншої інформації, проаналізованої з пакетів, щоб мати можливість швидше зрозуміти, що відбувалося.
NetWitness Investigator
Ви можете завантажити NetWitness Investigator звідси (Працює на Windows). Це ще один корисний інструмент, який аналізує пакети та сортує інформацію у зручний спосіб, щоб знати, що відбувається всередині.
Вилучення та кодування імен користувачів і паролів (HTTP, FTP, Telnet, IMAP, SMTP...)
Вилучення хешів аутентифікації та їх зламування за допомогою Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Створення візуальної мережевої діаграми (мережеві вузли та користувачі)
Вилучення DNS запитів
Відновлення всіх TCP та UDP сесій
Вилучення файлів
Capinfos
Ngrep
Якщо ви шукаєте щось всередині pcap, ви можете використовувати ngrep. Ось приклад з використанням основних фільтрів:
Carving
Використання загальних технік карвінгу може бути корисним для витягування файлів та інформації з pcap:
File/Data Carving & Recovery ToolsCapturing credentials
Ви можете використовувати інструменти, такі як https://github.com/lgandx/PCredz, для парсингу облікових даних з pcap або живого інтерфейсу.
RootedCON є найважливішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.
Check Exploits/Malware
Suricata
Встановлення та налаштування
Перевірте pcap
YaraPcap
YaraPCAP - це інструмент, який
Читає файл PCAP та витягує HTTP потоки.
Розпаковує будь-які стиснуті потоки за допомогою gzip.
Сканує кожен файл за допомогою yara.
Пише report.txt.
За бажанням зберігає відповідні файли в директорію.
Malware Analysis
Перевірте, чи можете ви знайти будь-які відбитки відомого шкідливого ПЗ:
Malware AnalysisZeek
Zeek - це пасивний, відкритий аналізатор мережевого трафіку. Багато операторів використовують Zeek як монітор безпеки мережі (NSM) для підтримки розслідувань підозрілої або шкідливої діяльності. Zeek також підтримує широкий спектр завдань аналізу трафіку, які виходять за межі безпеки, включаючи вимірювання продуктивності та усунення неполадок.
В основному, журнали, створені zeek
, не є pcaps. Тому вам потрібно буде використовувати інші інструменти для аналізу журналів, де міститься інформація про pcaps.
Connections Info
DNS інформація
Інші трюки аналізу pcap
DNSCat pcap analysisWifi Pcap AnalysisUSB Keystrokes
RootedCON є найактуальнішою подією в сфері кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є гарячою точкою зустрічі для професіоналів у сфері технологій та кібербезпеки в усіх дисциплінах.
Last updated