Khi xem xét các bản chụp gói [pcaps] của hoạt động đáng ngờ, các chuyên gia bảo mật có thể cần xuất các đối tượng từ pcaps để kiểm tra kỹ hơn
Hướng dẫn này cung cấp các mẹo về cách xuất các loại đối tượng khác nhau từ pcap. Các hướng dẫn giả sử bạn hiểu các nguyên tắc cơ bản về lưu lượng mạng. Chúng tôi sẽ sử dụng các gói lưu lượng mạng này để thực hành trích xuất các đối tượng bằng Wireshark. Các hướng dẫn cũng giả định rằng bạn đã tùy chỉnh hiển thị cột Wireshark của mình như đã trình bày trước đây trong hướng dẫn này
Cảnh báo. Hầu hết các pcaps này chứa phần mềm độc hại Windows và hướng dẫn này liên quan đến việc kiểm tra các tệp độc hại này. Vì các tệp này là phần mềm độc hại của Windows nên tôi khuyên bạn nên thực hiện hướng dẫn này trong môi trường không phải Windows, chẳng hạn như máy chủ MacBook hoặc Linux. Bạn cũng có thể sử dụng máy ảo [VM] chạy Linux
Hướng dẫn này bao gồm các lĩnh vực sau
- Xuất các đối tượng từ lưu lượng HTTP
- Xuất các đối tượng từ lưu lượng SMB
- Xuất email từ lưu lượng SMTP
- Xuất tệp từ lưu lượng FTP
Xuất các đối tượng từ lưu lượng HTTP
Pcap đầu tiên cho hướng dẫn này, giải nén-đối tượng-từ-pcap-example-01. pcap, có sẵn ở đây. Mở pcap trong Wireshark và lọc trên http. yêu cầu như hình 1
Sau khi lọc trên http. yêu cầu, hãy tìm hai yêu cầu GET tới smart-fax[. ] com. Yêu cầu đầu tiên kết thúc bằng. doc, cho biết yêu cầu đầu tiên trả về tài liệu Microsoft Word. Yêu cầu thứ hai kết thúc bằng. exe, cho biết yêu cầu thứ hai đã trả về tệp thực thi của Windows. Các yêu cầu HTTP GET được liệt kê bên dưới
- fax thông minh[. ]com - NHẬN /Documents/Invoice&MSO-Request. tài liệu
- fax thông minh[. ]com - NHẬN /knr. người cũ
Chúng ta có thể xuất các đối tượng này từ danh sách đối tượng HTTP bằng cách sử dụng đường dẫn menu. Tệp -> Xuất đối tượng -> HTTP. Hình 2 hiển thị đường dẫn menu này trong Wireshark
Đường dẫn menu này dẫn đến một cửa sổ Xuất danh sách đối tượng HTTP như trong Hình 3. Chọn dòng đầu tiên với smart-fax[. ]com làm tên máy chủ và lưu nó như trong Hình 3. Chọn dòng thứ hai với smart-fax[. ]com làm tên máy chủ và lưu nó như trong Hình 4
Lưu ý, Loại nội dung từ danh sách đối tượng HTTP cho biết cách máy chủ xác định tệp trong tiêu đề phản hồi HTTP của nó. Trong một số trường hợp, các tệp thực thi của Windows được cố ý gắn nhãn là một loại tệp khác nhằm tránh bị phát hiện. May mắn thay, pcap đầu tiên trong hướng dẫn này là một ví dụ rất đơn giản
Tuy nhiên, chúng ta nên xác nhận những tệp này đúng như những gì chúng ta nghĩ. Trong môi trường MacBook hoặc Linux, bạn có thể sử dụng cửa sổ đầu cuối hoặc giao diện dòng lệnh [CLI] cho các lệnh sau
- tập tin [tên tập tin]
- shasum -a 256 [tên tệp]
Lệnh file trả về loại tệp. Lệnh shasum sẽ trả về tệp băm, trong trường hợp này là tệp băm SHA256. Hình 5 cho thấy cách sử dụng các lệnh này trong CLI trên máy chủ Linux dựa trên Debian
Các lệnh và kết quả của chúng từ Hình 5 được liệt kê bên dưới
$ tệp Hóa đơn\&MSO-Yêu cầu. tài liệu
Hóa đơn&MSO-Yêu cầu. tài liệu. Tệp tài liệu tổng hợp Tài liệu V2, Little Endian, Os . Windows, Phiên bản 6. 3, Trang mã. 1252, Bản mẫu. Bình thường. dotm, Lưu lần cuối bởi. Quản trị viên, Số sửa đổi. 2, Tên Tạo Ứng Dụng. Microsoft Office Word, Tạo thời gian/ngày. Thứ năm 27 tháng 6 19. 24. 00 2019, Ngày/Thời gian lưu lần cuối. Thứ năm 27 tháng 6 19. 24. 00 2019, Số trang. 1, Số từ. 0, Số ký tự. 1, Bảo mật. 0
$ tập tin knr. người cũ
kr. người cũ. PE32 thực thi [GUI] Intel 80386, cho MS Windows
$ shasum -a 256 Invoice\&MSO-Request. tài liệu
f808229aa516ba134889f81cd699b8d246d46d796b55e13bee87435889a054fb Invoice&MSO-Request. tài liệu
$ shasum -a 256 knr. người cũ
749e161661290e8a2d190b1a66469744127bc25bf46e5d0c6f2e835f4b92db18 knr. người cũ
Thông tin trên xác nhận tài liệu Word đáng ngờ của chúng tôi trên thực tế là tài liệu Microsoft Word. Nó cũng xác nhận tệp thực thi Windows bị nghi ngờ thực sự là tệp thực thi Windows. Chúng tôi có thể kiểm tra hàm băm SHA256 đối với VirusTotal để xem các tệp này có bị phát hiện là phần mềm độc hại hay không. Chúng tôi cũng có thể thực hiện tìm kiếm trên Google về hàm băm SHA256 để có thể tìm thêm thông tin
Ngoài các tệp thực thi của Windows hoặc các tệp phần mềm độc hại khác, chúng tôi cũng có thể trích xuất các trang web. pcap thứ hai của chúng tôi cho hướng dẫn này, giải nén-đối tượng-từ-pcap-example-02. pcap [có sẵn tại đây] chứa lưu lượng truy cập của ai đó nhập thông tin đăng nhập trên trang đăng nhập PayPal giả mạo
Khi xem xét lưu lượng truy cập mạng từ một trang web lừa đảo, chúng tôi có thể muốn xem trang web lừa đảo trông như thế nào. Chúng ta có thể trích xuất trang HTML ban đầu bằng cách sử dụng menu Xuất đối tượng HTTP như trong Hình 6. Sau đó, chúng ta có thể xem nó thông qua trình duyệt web trong một môi trường biệt lập như trong Hình 7
Xuất đối tượng từ lưu lượng SMB
Một số phần mềm độc hại sử dụng giao thức Server Message Block [SMB] của Microsoft để phát tán trên mạng dựa trên Active Directory [AD]. Trojan ngân hàng được gọi là Trickbot đã thêm một mô-đun sâu vào đầu tháng 7 năm 2017 sử dụng khai thác dựa trên EternalBlue để lây lan trên mạng qua SMB. Hôm nay chúng tôi tiếp tục tìm thấy dấu hiệu của mô-đun sâu Trickbot này
Pcap tiếp theo của chúng tôi đại diện cho sự lây nhiễm Trickbot đã sử dụng SMB để lây lan từ một khách hàng bị nhiễm lúc 10. 6. 26. 110 đến bộ điều khiển miền của nó lúc 10. 6. 26. 6. pcap, giải nén-đối tượng-từ-pcap-ví dụ-03. pcap, có sẵn ở đây. Mở pcap trong Wireshark. Sử dụng đường dẫn menu Tệp -> Xuất đối tượng -> SMB. như trong Hình 8
Thao tác này sẽ hiển thị danh sách đối tượng Xuất SMB, liệt kê các đối tượng SMB mà bạn có thể xuất từ pcap như thể hiện trong Hình 9 bên dưới
Lưu ý hai mục gần giữa danh sách với \\10. 6. 26. 6\C$ làm Tên máy chủ. Kiểm tra kỹ hơn các trường Tên tệp tương ứng của chúng cho biết đây là hai tệp thực thi của Windows. Xem Bảng 1 bên dưới để biết chi tiết
Số gói tin Tên máy chủ Loại nội dung Kích thướcTên tệp7058\\10. 6. 26. 6\C$FILE [712704/712704] W [100. 0%]712 kB\WINDOWS\d0p2nc6ka3f_fixhohlycj4ovqfcy_smchzo_ub83urjpphrwahjwhv_o5c0fvf6. exe7936\\10. 6. 26. 6\C$FILE [115712/115712] W [100. 0%]115 kB\WINDOWS\oiku9bu68cxqenfmcsos2aek6t07_guuisgxhllixv8dx2eemqddnhyh46l8n_di. người cũBảng 1. Dữ liệu từ danh sách Xuất đối tượng SMB trên hai tệp thực thi của Windows
Trong cột Loại nội dung, chúng tôi cần [100. 00%] để xuất bản sao chính xác của các tệp này. Bất kỳ số nào nhỏ hơn 100 phần trăm cho biết có một số dữ liệu bị mất trong lưu lượng truy cập mạng, dẫn đến bản sao tệp bị hỏng hoặc không đầy đủ. Các tệp liên quan đến Trickbot này từ pcap có hàm băm tệp SHA256 như trong Bảng 2
ban 2. Băm tệp SHA256 cho các tệp thực thi của Windows
Xuất email từ lưu lượng SMTP
Một số loại phần mềm độc hại được thiết kế để biến máy chủ Windows bị nhiễm thành spambot. Những spambot này gửi hàng trăm thư rác hoặc email độc hại mỗi phút. Trong một số trường hợp, các tin nhắn được gửi bằng SMTP không được mã hóa và chúng tôi có thể xuất các tin nhắn này từ pcap của lưu lượng lây nhiễm
Một ví dụ như vậy là từ pcap tiếp theo của chúng tôi, giải nén-đối tượng-từ-pcap-ví dụ-04. pcap [có sẵn tại đây]. Trong pcap này, một máy khách Windows bị nhiễm gửi thư rác sextortion. Mở pcap trong Wireshark, lọc trên smtp. dữ liệu. đoạn, và bạn sẽ thấy 50 ví dụ về các dòng tiêu đề như trong Hình 10. Điều này xảy ra trong năm giây lưu lượng truy cập mạng từ một máy chủ Windows bị nhiễm độc
Bạn có thể xuất các tin nhắn này bằng đường dẫn menu File -> Export Objects -> IMF. như thể hiện trong Hình 11. IMF là viết tắt của Internet Message Format, được lưu dưới dạng tên có. phần mở rộng tập tin eml
Tất cả các tin nhắn rác sextortion được liệt kê với một. eml trong danh sách đối tượng IMF như trong Hình 12
Sau khi chúng được xuất khẩu, chúng. các tệp eml có thể được xem xét bằng ứng dụng email như Thunderbird hoặc chúng có thể được kiểm tra trong trình soạn thảo văn bản như trong Hình 13
Xuất tệp từ Lưu lượng truy cập FTP
Một số dòng phần mềm độc hại sử dụng FTP trong quá trình lây nhiễm phần mềm độc hại. Pcap tiếp theo của chúng tôi có các tệp thực thi phần mềm độc hại được truy xuất từ máy chủ FTP, theo sau là thông tin từ máy chủ Windows bị nhiễm được gửi lại cho cùng một máy chủ FTP
Pcap tiếp theo là giải nén-đối tượng-từ-pcap-example-05. pcap và có sẵn ở đây. Mở pcap trong Wireshark. Lọc trên ftp. lời yêu cầu. lệnh xem lại các lệnh FTP như hình 14. Bạn sẽ tìm thấy tên người dùng [USER] và mật khẩu [PASS] theo sau là yêu cầu truy xuất [RETR] năm tệp thực thi của Windows. q. exe, w. exe, e. exe, r. exe và t. người cũ. Tiếp theo là các yêu cầu lưu trữ các tệp nhật ký dựa trên html [STOR] trở lại cùng một máy chủ FTP cứ sau khoảng 18 giây
Bây giờ chúng ta đã có ý tưởng về các tệp đã được truy xuất và gửi, chúng ta có thể xem lại lưu lượng truy cập từ kênh dữ liệu FTP bằng cách sử dụng bộ lọc cho dữ liệu ftp như trong Hình 15
Chúng tôi không thể sử dụng chức năng Xuất đối tượng trong Wireshark để xuất các đối tượng này. Tuy nhiên, chúng ta có thể theo dõi luồng TCP từ các kênh dữ liệu cho mỗi. Nhấp chuột trái vào bất kỳ dòng nào kết thúc bằng [SIZE q. exe] để chọn một trong các phân đoạn TCP. Sau đó nhấn chuột phải để hiện ra menu và chọn đường dẫn menu là Follow -> TCP stream như trong Hình 16
Thao tác này sẽ hiển thị luồng TCP cho q. exe qua kênh dữ liệu FTP. Gần cuối cửa sổ là một menu kiểu nút có nhãn "Hiển thị và lưu dữ liệu dưới dạng" mặc định là ASCII như trong Hình 17. Click vào menu và chọn "Raw" như Hình 18
Bây giờ, cửa sổ sẽ hiển thị các ký tự thập lục phân thay vì ASCII như trong Hình 19. Sử dụng Lưu dưới dạng. ở gần cuối cửa sổ để lưu cái này dưới dạng nhị phân thô, cũng được hiển thị trong Hình 19
Lưu tệp dưới dạng q. người cũ. Trong môi trường Linux hoặc CLI tương tự, hãy xác nhận đây là tệp thực thi của Windows và lấy hàm băm SHA256 như hiển thị bên dưới
$ tập tin q. người cũ
q. người cũ. PE32 thực thi [GUI] Intel 80386, cho MS Windows
$ shasum -a 256 q. người cũ
ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q. người cũ
Hàm băm SHA256 cho thấy tỷ lệ phát hiện cao dưới dạng phần mềm độc hại trên VirusTotal. Thực hiện theo quy trình tương tự cho khác. exe trong pcap
- Lọc dữ liệu ftp
- Theo dõi luồng TCP để biết phân đoạn TCP có tên tệp của bạn trong cột Thông tin
- Thay đổi "Hiển thị và lưu dữ liệu dưới dạng" thành "Nguyên"
- Sử dụng tùy chọn "Lưu dưới dạng. " nút để lưu tập tin
- Kiểm tra để đảm bảo rằng tệp đã lưu của bạn trên thực tế là tệp thực thi của Windows
Điều này sẽ cung cấp cho bạn các tệp sau như được hiển thị bên dưới trong Bảng 3
Hàm băm SHA256Tên tệp32e1b3732cd779af1bf7730d0ec8a7a87a084319f6a0870dc7362a15ddbd3199e. execa34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bdq. exe4ebd58007ee933a0a8348aee2922904a7110b7fb6a316b1c7fb2c6677e613884r. exe10ce4b79180a2ddd924fdc95951d968191af2ee3b7dfc96dd6a5714dbeae613at. exe08eb941447078ef2c6ad8d91bb2f52256c09657ecd3d5344023edccf7291e9fcw. người cũbàn số 3. Các tệp thực thi từ lưu lượng FTP
Chúng tôi phải tìm kiếm chính xác hơn khi xuất các tệp HTML được gửi từ máy chủ Windows bị nhiễm trở lại máy chủ FTP. Tại sao? . Lọc trên ftp. lời yêu cầu. lệnh và cuộn đến cuối. Chúng ta có thể thấy cùng một tên tệp được sử dụng để lưu trữ [STOR] dữ liệu bị đánh cắp tới máy chủ FTP dưới dạng tệp HTML như trong Hình 20
Để xem các tệp được liên kết được gửi qua kênh dữ liệu ftp, hãy sử dụng bộ lọc dữ liệu ftp. lệnh chứa. html như trong Hình 21
Trong Hình 21, cổng đích thay đổi mỗi khi tệp được lưu trữ [STOR] vào máy chủ FTP. Lần đầu tiên có cổng TCP 52202. Lần thứ hai có cổng TCP 57791. Lần thứ ba có cổng TCP 55045. Lần thứ tư có 57203. Và lần thứ năm có 61099
Chúng tôi sử dụng quy trình tương tự như trước đây. Thay vì tập trung vào tên tệp, hãy tập trung vào các cổng TCP. Theo dõi luồng TCP cho bất kỳ phân đoạn TCP nào bằng cổng 52202. Trong cửa sổ luồng TCP, thay đổi "Hiển thị và lưu dữ liệu dưới dạng" thành "Raw. " Sau đó lưu tập tin. Làm tương tự cho tệp HTML qua cổng TCP 57791
Nếu bạn làm điều này cho tất cả năm tệp HTML, bạn sẽ thấy chúng là cùng một tệp chính xác. Các tệp HTML dựa trên văn bản này chứa dữ liệu về máy chủ lưu trữ Windows bị nhiễm, bao gồm mọi mật khẩu mà phần mềm độc hại tìm thấy
Tóm lược
Sử dụng các phương pháp được nêu trong hướng dẫn này, chúng ta có thể trích xuất các đối tượng khác nhau từ pcap bằng Wireshark. Điều này có thể cực kỳ hữu ích khi bạn cần kiểm tra các mục từ lưu lượng truy cập mạng