В ходе анализа работы вредоносного программного обеспечения достаточно часто бывает полезным запись циркулирующего сетевого трафика. Затем в этом сетевом трафике находят переданные файлы, сеансы сетевого обмена и ещё много чего интересного. Но вручную выковыривать файлы – труд неблагодарный, даже WireShark тут не особо помогает. Ну точнее конечно можно собрать сессию, сохранить binary data, но блин, как это муторно.
Друзья подсказали мне классную программу для этого дела, а я сразу же делюсь с читателями. Пользуйтесь!
Утилита называется NetworkMiner, если ссылка сдохнет – ищите по названию
Программа, кстати, сама умеет захватывать трафик, но смысл это делать? Обычно ж как работает – направляется SPAN-порт на какую-нибудь тачку с tcpdump или чем-то подобным, а потом уже анализируется. Ну в любом случае, мы скармливаем ей pcap-файл трафика.
Для скринов я скормил 2 файла – будет показательнее. В первый не попало то, что я хотел, чтобы попало
В этом окне у нас перечислен список хостов, с кем совершали сетевой обмен. Некий аналог endpoints в Wireshark:
Не очень понятно, зачем смотреть L2-заголовки, но если кому-то вкатывает искать по MAC-адресам, здесь и это тоже есть.
Есть отдельная вкладочка – Images – декодированные картинки. Ну разумеется, как и в случае с любыми файлами, сюда попадёт только незашифрованный трафик. Всё, что под TLS – не пролезет.
Файлы. Ради чего всё и затевалось. Бинарный файл будет как octet-stream. Соответственно, кликаем правой кнопкой мыши на файле, жмём “Open Folder”
И вот все наши файлы. Второе расширение убираем и получаем типовой 7z-архив.
У программы есть ещё ряд прикольных вкладок, но увы, как я уже говорил, зашифрованный трафик она не сечёт. Наверное это к лучшему, кому бы это понравилось?
Comments: