Экспресс-анализ сетевого трафика: поиск переданных файлов

В ходе анализа работы вредоносного программного обеспечения достаточно часто бывает полезным запись циркулирующего сетевого трафика. Затем в этом сетевом трафике находят переданные файлы, сеансы сетевого обмена и ещё много чего интересного. Но вручную выковыривать файлы – труд неблагодарный, даже WireShark тут не особо помогает. Ну точнее конечно можно собрать сессию, сохранить binary data, но блин, как это муторно.

Друзья подсказали мне классную программу для этого дела, а я сразу же делюсь с читателями. Пользуйтесь!

Утилита называется NetworkMiner, если ссылка сдохнет – ищите по названию :)

Программа, кстати, сама умеет захватывать трафик, но смысл это делать? Обычно ж как работает – направляется SPAN-порт на какую-нибудь тачку с tcpdump или чем-то подобным, а потом уже анализируется. Ну в любом случае, мы скармливаем ей pcap-файл трафика.

Для скринов я скормил 2 файла – будет показательнее. В первый не попало то, что я хотел, чтобы попало :)

В этом окне у нас перечислен список хостов, с кем совершали сетевой обмен. Некий аналог endpoints в Wireshark:

Не очень понятно, зачем смотреть L2-заголовки, но если кому-то вкатывает искать по MAC-адресам, здесь и это тоже есть.

Есть отдельная вкладочка – Images – декодированные картинки. Ну разумеется, как и в случае с любыми файлами, сюда попадёт только незашифрованный трафик. Всё, что под TLS – не пролезет.

Файлы. Ради чего всё и затевалось. Бинарный файл будет как octet-stream. Соответственно, кликаем правой кнопкой мыши на файле, жмём “Open Folder”

И вот все наши файлы. Второе расширение убираем и получаем типовой 7z-архив.

У программы есть ещё ряд прикольных вкладок, но увы, как я уже говорил, зашифрованный трафик она не сечёт. Наверное это к лучшему, кому бы это понравилось? :)

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply