Pcap Inspection
RootedCON є найбільш важливою подією з кібербезпеки в Іспанії і однією з найважливіших в Європі. З місією просування технічних знань, цей конгрес є кипучою точкою зустрічі для професіоналів технологій та кібербезпеки у будь-якій дисципліні.
Про PCAP проти PCAPNG: існує дві версії формату файлу PCAP; PCAPNG є новішою і не підтримується всіма інструментами. Можливо, вам доведеться конвертувати файл з PCAPNG в PCAP за допомогою Wireshark або іншого сумісного інструмента, щоб працювати з ним в інших інструментах.
Онлайн інструменти для pcap
Якщо заголовок вашого pcap пошкоджений, вам слід спробувати виправити його за допомогою: http://f00l.de/hacking/pcapfix.php
Витягніть інформацію та шукайте шкідливе ПЗ всередині pcap на PacketTotal
Шукайте зловмисну діяльність за допомогою www.virustotal.com та www.hybrid-analysis.com
Витягнення інформації
Наступні інструменти корисні для витягнення статистики, файлів і т. д.
Wireshark
Якщо ви збираєтеся аналізувати PCAP, вам в основному слід знати, як використовувати Wireshark
Деякі хитрощі Wireshark можна знайти в:
pageWireshark tricksФреймворк Xplico
Xplico (тільки для linux) може аналізувати pcap і витягувати з нього інформацію. Наприклад, з файлу pcap Xplico витягує кожен електронний лист (протоколи POP, IMAP та SMTP), всі вміст HTTP, кожний дзвінок VoIP (SIP), FTP, TFTP та інше.
Встановлення
Виконання
Открийте доступ до 127.0.0.1:9876 з обліковими даними xplico:xplico
Потім створіть новий кейс, створіть нову сесію всередині кейсу та завантажте файл pcap.
NetworkMiner
Подібно до Xplico, це інструмент для аналізу та вилучення об'єктів з pcap. Є безкоштовна версія, яку можна завантажити тут. Працює з Windows. Цей інструмент також корисний для отримання іншої інформації, проаналізованої з пакетів, щоб знати, що відбувалося швидше.
NetWitness Investigator
Ви можете завантажити NetWitness Investigator тут (Працює в Windows). Це ще один корисний інструмент, який аналізує пакети та сортує інформацію у корисний спосіб, щоб знати, що відбувається всередині.
Вилучення та кодування імен користувачів та паролів (HTTP, FTP, Telnet, IMAP, SMTP...)
Вилучення хешів аутентифікації та їх розшифрування за допомогою Hashcat (Kerberos, NTLM, CRAM-MD5, HTTP-Digest...)
Побудова візуальної діаграми мережі (Мережеві вузли та користувачі)
Вилучення запитів DNS
Відновлення всіх TCP та UDP сесій
Видобування файлів
Capinfos
Ngrep
Якщо ви шукаєте щось усередині pcap, ви можете використовувати ngrep. Ось приклад використання основних фільтрів:
Видалення
Використання загальних технік видалення може бути корисним для вилучення файлів та інформації з pcap:
pageFile/Data Carving & Recovery ToolsЗахоплення облікових даних
Ви можете використовувати інструменти, такі як https://github.com/lgandx/PCredz, щоб розбирати облікові дані з pcap або живого інтерфейсу.
RootedCON є найбільш важливою подією з кібербезпеки в Іспанії та однією з найважливіших в Європі. З метою просування технічних знань, цей конгрес є кипучою точкою зустрічі для професіоналів технологій та кібербезпеки у кожній дисципліні.
Перевірка Вразливостей/Шкідливих програм
Suricata
Встановлення та налаштування
Перевірте pcap
YaraPcap
YaraPCAP - це інструмент, який
Читає файл PCAP та витягує потоки Http.
gzip розпаковує будь-які стиснуті потоки
Сканує кожен файл за допомогою yara
Записує звіт у report.txt
Опціонально зберігає відповідні файли у каталозі
Аналіз шкідливих програм
Перевірте, чи можете ви знайти будь-який відбиток відомої шкідливої програми:
pageMalware AnalysisZeek
Zeek - це пасивний, відкритий аналізатор мережевого трафіку з відкритим вихідним кодом. Багато операторів використовують Zeek як монітор мережевої безпеки (NSM), щоб підтримувати розслідування підозрілої або зловмисної діяльності. Zeek також підтримує широкий спектр завдань аналізу трафіку поза областю безпеки, включаючи вимірювання продуктивності та усунення неполадок.
Фактично, журнали, створені за допомогою zeek
, не є pcaps. Тому вам потрібно використовувати інші інструменти для аналізу журналів, де є інформація про pcaps.
Інформація DNS
Інші хитрощі аналізу pcap
pageDNSCat pcap analysispageWifi Pcap AnalysispageUSB Keystrokes
RootedCON - найбільш важлива подія з кібербезпеки в Іспанії і одна з найважливіших в Європі. З місією просування технічних знань, цей конгрес є кипучою точкою зустрічі для професіоналів технологій та кібербезпеки у будь-якій галузі.
Last updated