Cách truy cập tệp .pcap trong máy ảo kathará từ máy chủ

Khi xem xét các bản chụp gói (pcaps) của hoạt động đáng ngờ, các chuyên gia bảo mật có thể cần xuất các đối tượng từ pcaps để kiểm tra kỹ hơn

Hướng dẫn này cung cấp các mẹo về cách xuất các loại đối tượng khác nhau từ pcap. Các hướng dẫn giả sử bạn hiểu các nguyên tắc cơ bản về lưu lượng mạng. Chúng tôi sẽ sử dụng các gói lưu lượng mạng này để thực hành trích xuất các đối tượng bằng Wireshark. Các hướng dẫn cũng giả định rằng bạn đã tùy chỉnh hiển thị cột Wireshark của mình như đã trình bày trước đây trong hướng dẫn này

Cảnh báo. Hầu hết các pcaps này chứa phần mềm độc hại Windows và hướng dẫn này liên quan đến việc kiểm tra các tệp độc hại này. Vì các tệp này là phần mềm độc hại của Windows nên tôi khuyên bạn nên thực hiện hướng dẫn này trong môi trường không phải Windows, chẳng hạn như máy chủ MacBook hoặc Linux. Bạn cũng có thể sử dụng máy ảo (VM) chạy Linux

Hướng dẫn này bao gồm các lĩnh vực sau

• Xuất các đối tượng từ lưu lượng HTTP
• Xuất các đối tượng từ lưu lượng SMB
• Xuất email từ lưu lượng SMTP
• Xuất tệp từ lưu lượng FTP

Xuất các đối tượng từ lưu lượng HTTP

Pcap đầu tiên cho hướng dẫn này, giải nén-đối tượng-từ-pcap-example-01. pcap, có sẵn ở đây. Mở pcap trong Wireshark và lọc trên http. yêu cầu như hình 1

Hình 1. Lọc trên pcap đầu tiên của hướng dẫn trong Wireshark

Sau khi lọc trên http. yêu cầu, hãy tìm hai yêu cầu GET tới smart-fax[. ] com. Yêu cầu đầu tiên kết thúc bằng. doc, cho biết yêu cầu đầu tiên trả về tài liệu Microsoft Word. Yêu cầu thứ hai kết thúc bằng. exe, cho biết yêu cầu thứ hai đã trả về tệp thực thi của Windows. Các yêu cầu HTTP GET được liệt kê bên dưới

• fax thông minh[. ]com - NHẬN /Documents/Invoice&MSO-Request. tài liệu
• fax thông minh[. ]com - NHẬN /knr. người cũ

Chúng ta có thể xuất các đối tượng này từ danh sách đối tượng HTTP bằng cách sử dụng đường dẫn menu. Tệp -> Xuất đối tượng -> HTTP. Hình 2 hiển thị đường dẫn menu này trong Wireshark

Hình 2. Xuất các đối tượng HTTP trong Wireshark

Đường dẫn menu này dẫn đến một cửa sổ Xuất danh sách đối tượng HTTP như trong Hình 3. Chọn dòng đầu tiên với smart-fax[. ]com làm tên máy chủ và lưu nó như trong Hình 3. Chọn dòng thứ hai với smart-fax[. ]com làm tên máy chủ và lưu nó như trong Hình 4

Hình 3. Lưu tài liệu Word bị nghi ngờ từ danh sách đối tượng HTTP

hinh 4. Lưu tệp thực thi Windows bị nghi ngờ khỏi danh sách đối tượng HTTP

Lưu ý, Loại nội dung từ danh sách đối tượng HTTP cho biết cách máy chủ xác định tệp trong tiêu đề phản hồi HTTP của nó. Trong một số trường hợp, các tệp thực thi của Windows được cố ý gắn nhãn là một loại tệp khác nhằm tránh bị phát hiện. May mắn thay, pcap đầu tiên trong hướng dẫn này là một ví dụ rất đơn giản

Tuy nhiên, chúng ta nên xác nhận những tệp này đúng như những gì chúng ta nghĩ. Trong môi trường MacBook hoặc Linux, bạn có thể sử dụng cửa sổ đầu cuối hoặc giao diện dòng lệnh (CLI) cho các lệnh sau

• tập tin [tên tập tin]
• shasum -a 256 [tên tệp]

Lệnh file trả về loại tệp. Lệnh shasum sẽ trả về tệp băm, trong trường hợp này là tệp băm SHA256. Hình 5 cho thấy cách sử dụng các lệnh này trong CLI trên máy chủ Linux dựa trên Debian

Hình 5. Xác định loại tệp và hàm băm của hai đối tượng được xuất từ ​​pcap

Các lệnh và kết quả của chúng từ Hình 5 được liệt kê bên dưới

$ tệp Hóa đơn\&MSO-Yêu cầu. tài liệu

Hóa đơn&MSO-Yêu cầu. tài liệu. Tệp tài liệu tổng hợp Tài liệu V2, Little Endian, Os . Windows, Phiên bản 6. 3, Trang mã. 1252, Bản mẫu. Bình thường. dotm, Lưu lần cuối bởi. Quản trị viên, Số sửa đổi. 2, Tên Tạo Ứng Dụng. Microsoft Office Word, Tạo thời gian/ngày. Thứ năm 27 tháng 6 19. 24. 00 2019, Ngày/Thời gian lưu lần cuối. Thứ năm 27 tháng 6 19. 24. 00 2019, Số trang. 1, Số từ. 0, Số ký tự. 1, Bảo mật. 0

$ tập tin knr. người cũ

kr. người cũ. PE32 thực thi (GUI) Intel 80386, cho MS Windows

$ shasum -a 256 Invoice\&MSO-Request. tài liệu

f808229aa516ba134889f81cd699b8d246d46d796b55e13bee87435889a054fb Invoice&MSO-Request. tài liệu

$ shasum -a 256 knr. người cũ

749e161661290e8a2d190b1a66469744127bc25bf46e5d0c6f2e835f4b92db18 knr. người cũ

Thông tin trên xác nhận tài liệu Word đáng ngờ của chúng tôi trên thực tế là tài liệu Microsoft Word. Nó cũng xác nhận tệp thực thi Windows bị nghi ngờ thực sự là tệp thực thi Windows. Chúng tôi có thể kiểm tra hàm băm SHA256 đối với VirusTotal để xem các tệp này có bị phát hiện là phần mềm độc hại hay không. Chúng tôi cũng có thể thực hiện tìm kiếm trên Google về hàm băm SHA256 để có thể tìm thêm thông tin

Ngoài các tệp thực thi của Windows hoặc các tệp phần mềm độc hại khác, chúng tôi cũng có thể trích xuất các trang web. pcap thứ hai của chúng tôi cho hướng dẫn này, giải nén-đối tượng-từ-pcap-example-02. pcap (có sẵn tại đây) chứa lưu lượng truy cập của ai đó nhập thông tin đăng nhập trên trang đăng nhập PayPal giả mạo

Khi xem xét lưu lượng truy cập mạng từ một trang web lừa đảo, chúng tôi có thể muốn xem trang web lừa đảo trông như thế nào. Chúng ta có thể trích xuất trang HTML ban đầu bằng cách sử dụng menu Xuất đối tượng HTTP như trong Hình 6. Sau đó, chúng ta có thể xem nó thông qua trình duyệt web trong một môi trường biệt lập như trong Hình 7

Hình 6. Xuất trang đăng nhập PayPal giả từ pcap thứ hai của chúng tôi

Hình 7. Trang đăng nhập PayPal giả đã xuất được xem trong trình duyệt web

Xuất đối tượng từ lưu lượng SMB

Một số phần mềm độc hại sử dụng giao thức Server Message Block (SMB) của Microsoft để phát tán trên mạng dựa trên Active Directory (AD). Trojan ngân hàng được gọi là Trickbot đã thêm một mô-đun sâu vào đầu tháng 7 năm 2017 sử dụng khai thác dựa trên EternalBlue để lây lan trên mạng qua SMB. Hôm nay chúng tôi tiếp tục tìm thấy dấu hiệu của mô-đun sâu Trickbot này

Pcap tiếp theo của chúng tôi đại diện cho sự lây nhiễm Trickbot đã sử dụng SMB để lây lan từ một khách hàng bị nhiễm lúc 10. 6. 26. 110 đến bộ điều khiển miền của nó lúc 10. 6. 26. 6. pcap, giải nén-đối tượng-từ-pcap-ví dụ-03. pcap, có sẵn ở đây. Mở pcap trong Wireshark. Sử dụng đường dẫn menu Tệp -> Xuất đối tượng -> SMB. như trong Hình 8

Hình 8. Truy cập danh sách đối tượng Xuất khẩu SMB

Thao tác này sẽ hiển thị danh sách đối tượng Xuất SMB, liệt kê các đối tượng SMB mà bạn có thể xuất từ ​​pcap như thể hiện trong Hình 9 bên dưới

Hình 9. Danh sách đối tượng SMB xuất khẩu

Lưu ý hai mục gần giữa danh sách với \\10. 6. 26. 6\C$ làm Tên máy chủ. Kiểm tra kỹ hơn các trường Tên tệp tương ứng của chúng cho biết đây là hai tệp thực thi của Windows. Xem Bảng 1 bên dưới để biết chi tiết

Số gói tin Tên máy chủ Loại nội dung Kích thướcTên tệp7058\\10. 6. 26. 6\C$FILE (712704/712704) W [100. 0%]712 kB\WINDOWS\d0p2nc6ka3f_fixhohlycj4ovqfcy_smchzo_ub83urjpphrwahjwhv_o5c0fvf6. exe7936\\10. 6. 26. 6\C$FILE (115712/115712) W [100. 0%]115 kB\WINDOWS\oiku9bu68cxqenfmcsos2aek6t07_guuisgxhllixv8dx2eemqddnhyh46l8n_di. người cũ

Bảng 1. Dữ liệu từ danh sách Xuất đối tượng SMB trên hai tệp thực thi của Windows

Trong cột Loại nội dung, chúng tôi cần [100. 00%] để xuất bản sao chính xác của các tệp này. Bất kỳ số nào nhỏ hơn 100 phần trăm cho biết có một số dữ liệu bị mất trong lưu lượng truy cập mạng, dẫn đến bản sao tệp bị hỏng hoặc không đầy đủ. Các tệp liên quan đến Trickbot này từ pcap có hàm băm tệp SHA256 như trong Bảng 2

Hàm băm SHA256Kích thước tệp59896ae5f3edcb999243c7bfdc0b17eb7fe28f3a66259d797386ea470c010040712 kBcf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f1k

ban 2. Băm tệp SHA256 cho các tệp thực thi của Windows

Xuất email từ lưu lượng SMTP

Một số loại phần mềm độc hại được thiết kế để biến máy chủ Windows bị nhiễm thành spambot. Những spambot này gửi hàng trăm thư rác hoặc email độc hại mỗi phút. Trong một số trường hợp, các tin nhắn được gửi bằng SMTP không được mã hóa và chúng tôi có thể xuất các tin nhắn này từ pcap của lưu lượng lây nhiễm

Một ví dụ như vậy là từ pcap tiếp theo của chúng tôi, giải nén-đối tượng-từ-pcap-ví dụ-04. pcap (có sẵn tại đây). Trong pcap này, một máy khách Windows bị nhiễm gửi thư rác sextortion. Mở pcap trong Wireshark, lọc trên smtp. dữ liệu. đoạn, và bạn sẽ thấy 50 ví dụ về các dòng tiêu đề như trong Hình 10. Điều này xảy ra trong năm giây lưu lượng truy cập mạng từ một máy chủ Windows bị nhiễm độc

Hình 10. Lọc người gửi email và dòng chủ đề trong Wireshark

Bạn có thể xuất các tin nhắn này bằng đường dẫn menu File -> Export Objects -> IMF. như thể hiện trong Hình 11. IMF là viết tắt của Internet Message Format, được lưu dưới dạng tên có. phần mở rộng tập tin eml

Hình 11. Xuất email từ pcap trong Wireshark

Tất cả các tin nhắn rác sextortion được liệt kê với một. eml trong danh sách đối tượng IMF như trong Hình 12

Hình 12. Danh sách tin nhắn rác trong danh sách đối tượng IMF

Sau khi chúng được xuất khẩu, chúng. các tệp eml có thể được xem xét bằng ứng dụng email như Thunderbird hoặc chúng có thể được kiểm tra trong trình soạn thảo văn bản như trong Hình 13

Hình 13. Sử dụng trình soạn thảo văn bản để xem một. tệp eml được xuất từ ​​pcap

Xuất tệp từ Lưu lượng truy cập FTP

Một số dòng phần mềm độc hại sử dụng FTP trong quá trình lây nhiễm phần mềm độc hại. Pcap tiếp theo của chúng tôi có các tệp thực thi phần mềm độc hại được truy xuất từ ​​máy chủ FTP, theo sau là thông tin từ máy chủ Windows bị nhiễm được gửi lại cho cùng một máy chủ FTP

Pcap tiếp theo là giải nén-đối tượng-từ-pcap-example-05. pcap và có sẵn ở đây. Mở pcap trong Wireshark. Lọc trên ftp. lời yêu cầu. lệnh xem lại các lệnh FTP như hình 14. Bạn sẽ tìm thấy tên người dùng (USER) và mật khẩu (PASS) theo sau là yêu cầu truy xuất (RETR) năm tệp thực thi của Windows. q. exe, w. exe, e. exe, r. exe và t. người cũ. Tiếp theo là các yêu cầu lưu trữ các tệp nhật ký dựa trên html (STOR) trở lại cùng một máy chủ FTP cứ sau khoảng 18 giây

Hình 14. Lọc các yêu cầu FTP trong Wireshark

Bây giờ chúng ta đã có ý tưởng về các tệp đã được truy xuất và gửi, chúng ta có thể xem lại lưu lượng truy cập từ kênh dữ liệu FTP bằng cách sử dụng bộ lọc cho dữ liệu ftp như trong Hình 15

Hình 15. Lọc lưu lượng dữ liệu FTP trong Wireshark

Chúng tôi không thể sử dụng chức năng Xuất đối tượng trong Wireshark để xuất các đối tượng này. Tuy nhiên, chúng ta có thể theo dõi luồng TCP từ các kênh dữ liệu cho mỗi. Nhấp chuột trái vào bất kỳ dòng nào kết thúc bằng (SIZE q. exe) để chọn một trong các phân đoạn TCP. Sau đó nhấn chuột phải để hiện ra menu và chọn đường dẫn menu là Follow -> TCP stream như trong Hình 16

Hình 16. Theo luồng TCP của kênh dữ liệu FTP cho q. người cũ

Thao tác này sẽ hiển thị luồng TCP cho q. exe qua kênh dữ liệu FTP. Gần cuối cửa sổ là một menu kiểu nút có nhãn "Hiển thị và lưu dữ liệu dưới dạng" mặc định là ASCII như trong Hình 17. Click vào menu và chọn "Raw" như Hình 18

Hình 17. Cửa sổ luồng TCP cho q. người cũ. Lưu ý menu kiểu nút "Hiển thị và lưu dữ liệu dưới dạng"

Hình 18. Chọn "Thô" từ menu "Hiển thị và lưu dữ liệu dưới dạng"

Bây giờ, cửa sổ sẽ hiển thị các ký tự thập lục phân thay vì ASCII như trong Hình 19. Sử dụng Lưu dưới dạng. ở gần cuối cửa sổ để lưu cái này dưới dạng nhị phân thô, cũng được hiển thị trong Hình 19

Hình 19. Lưu dữ liệu từ luồng TCP dưới dạng nhị phân thô

Lưu tệp dưới dạng q. người cũ. Trong môi trường Linux hoặc CLI tương tự, hãy xác nhận đây là tệp thực thi của Windows và lấy hàm băm SHA256 như hiển thị bên dưới

$ tập tin q. người cũ

q. người cũ. PE32 thực thi (GUI) Intel 80386, cho MS Windows

$ shasum -a 256 q. người cũ

ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q. người cũ

Hàm băm SHA256 cho thấy tỷ lệ phát hiện cao dưới dạng phần mềm độc hại trên VirusTotal. Thực hiện theo quy trình tương tự cho khác. exe trong pcap

• Lọc dữ liệu ftp
• Theo dõi luồng TCP để biết phân đoạn TCP có tên tệp của bạn trong cột Thông tin
• Thay đổi "Hiển thị và lưu dữ liệu dưới dạng" thành "Nguyên"
• Sử dụng tùy chọn "Lưu dưới dạng. " nút để lưu tập tin
• Kiểm tra để đảm bảo rằng tệp đã lưu của bạn trên thực tế là tệp thực thi của Windows

Điều này sẽ cung cấp cho bạn các tệp sau như được hiển thị bên dưới trong Bảng 3

Hàm băm SHA256Tên tệp32e1b3732cd779af1bf7730d0ec8a7a87a084319f6a0870dc7362a15ddbd3199e. execa34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bdq. exe4ebd58007ee933a0a8348aee2922904a7110b7fb6a316b1c7fb2c6677e613884r. exe10ce4b79180a2ddd924fdc95951d968191af2ee3b7dfc96dd6a5714dbeae613at. exe08eb941447078ef2c6ad8d91bb2f52256c09657ecd3d5344023edccf7291e9fcw. người cũ

bàn số 3. Các tệp thực thi từ lưu lượng FTP

Chúng tôi phải tìm kiếm chính xác hơn khi xuất các tệp HTML được gửi từ máy chủ Windows bị nhiễm trở lại máy chủ FTP. Tại sao? . Lọc trên ftp. lời yêu cầu. lệnh và cuộn đến cuối. Chúng ta có thể thấy cùng một tên tệp được sử dụng để lưu trữ (STOR) dữ liệu bị đánh cắp tới máy chủ FTP dưới dạng tệp HTML như trong Hình 20

Hình 20. Cùng một tên tệp được sử dụng để gửi thông tin bị đánh cắp trở lại máy chủ FTP

Để xem các tệp được liên kết được gửi qua kênh dữ liệu ftp, hãy sử dụng bộ lọc dữ liệu ftp. lệnh chứa. html như trong Hình 21

Hình 21. Lọc trên các tập tin với. html trong tên tệp qua kênh dữ liệu FTP

Trong Hình 21, cổng đích thay đổi mỗi khi tệp được lưu trữ (STOR) vào máy chủ FTP. Lần đầu tiên có cổng TCP 52202. Lần thứ hai có cổng TCP 57791. Lần thứ ba có cổng TCP 55045. Lần thứ tư có 57203. Và lần thứ năm có 61099

Chúng tôi sử dụng quy trình tương tự như trước đây. Thay vì tập trung vào tên tệp, hãy tập trung vào các cổng TCP. Theo dõi luồng TCP cho bất kỳ phân đoạn TCP nào bằng cổng 52202. Trong cửa sổ luồng TCP, thay đổi "Hiển thị và lưu dữ liệu dưới dạng" thành "Raw. " Sau đó lưu tập tin. Làm tương tự cho tệp HTML qua cổng TCP 57791

Nếu bạn làm điều này cho tất cả năm tệp HTML, bạn sẽ thấy chúng là cùng một tệp chính xác. Các tệp HTML dựa trên văn bản này chứa dữ liệu về máy chủ lưu trữ Windows bị nhiễm, bao gồm mọi mật khẩu mà phần mềm độc hại tìm thấy

Tóm lược

Sử dụng các phương pháp được nêu trong hướng dẫn này, chúng ta có thể trích xuất các đối tượng khác nhau từ pcap bằng Wireshark. Điều này có thể cực kỳ hữu ích khi bạn cần kiểm tra các mục từ lưu lượng truy cập mạng