Wiresharkパケット解析講座(2) 脅威インテリジェンス調査に役立つフィルタリング設定 備忘録
以下の記事を読んだ際の個人的な備忘録です。
基礎的なところがわかっていなくてRFC遡ってたりしたら2時間くらいかかりました。
URLやドメインは悪性なのでアクセスされないようご注意ください。
pcapでWebトラフィックをすばやく確認する
http.request or ssl.handshake.type == 1
不要なトラフィックの除外
使用ファイル:Using-Wireshark-diplay-filters-Emotet-with-IcedID.pcap
今回は1900/udp(Simple Service Discovery Protocol:SSDP)を除外する
(http.request or ssl.handshake.type == 1)and!(udp.port eq 1900) または (http.request or ssl.handshake.type == 1)and!(ssdp)
TCP接続を拒否するサーバーへの接続試行(TCP SYN セグメント)を含める
(http.request or ssl.handshake.type == 1 or tcp.flags eq 0x0002) and !(udp.port eq 1900)
DNS活動をフィルタする
使用ファイル:Using-Wireshark-diplay-filters-Nanocore-RAT.pcap
以下を追加することで、DNSの活動もフィルタすることができる
(http.request or ssl.handshake.type ==1 or tcp.flags eq 0x0002 or dns) and !(udp.port eq 1900)
上記のフィルター文は以下意味を持つ
- http.request or ssl.handshake.type==1 or tcp.flags eq 0x002 or dns
- !(udp.port eq 1900)
- UPnP(ユニバーサルプラグアンドプレイ)デバイスディスカバリプロトコルに対応するUDPポート1900のパケットを除外する
- ssl.handshake.type
-
-
- 0: HelloRequest
- 1: ClientHello
- 2: ServerHello
- 3: Certificate
- 4: ServerKeyExchange
- 5: CertificateRequest
- 6: ServerHelloDone
- 7: CertificateVerify
- 8: ClientKeyExchange
- 9: Finished
- 10: CertificateURL
- 11: CertificateStatus
- 12: SupplementalData
-
各メッセージの詳細については以下を参考にする
Wireshark · Display Filter Reference: Secure Sockets Layer
以下のフィールド文について
[TCP Retransmission] [TCP Port numbers reused] 49194 → 19055 [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM
- [TCP Retransmission]
- このパケットが再送されたことを示す
- パケットが到着しなかった場合、送信元はパケットを再送することがある
- [TCP Port numbers reused]
- パケットに含まれる送信元ポート番号が、以前に使用されたポート番号と同じであることを示す
- [SYN]
- Seq=0
- データシーケンス番号が0であることを示す
- TCPでは、データがシーケンス番号に基づいて順序付けられる
- Win=8192
- 受信ウィンドウサイズが8192バイトであることを示す
- 送信元がバッファリングされたデータ量を指定する
- Len=0
- パケットに含まれるデータの長さが0であることを示す
- MSS=1460
- 最大セグメントサイズが1460バイトであることを示す
- 送信元と受信元の間で使用する最大ペイロードサイズを指定する
- WS=256
- ウィンドウスケール値が256であることを示す
- ウィンドウスケール値は、受信ウィンドウサイズを拡張するために使用される
- SACK_PERM
- Selective Acknowledgement Permittedが有効であることを示す
- 受信元が受信データを再送信する際に失われたデータだけを再送信することを可能にするフラグ
Standard query 0x9bf6 A www.mercedes-club-bg[.]com
- Standard query 0x9bf6
- A
- www.mercedes-club-bg[.]com
- DNSクエリの対象となるホスト名を示す
使用ファイル:Using-Wireshark-diplay-filters-FTP-malware.pcap
21: SSHサーバーが情報を待ち受ける
22: SSHサーバーが情報を送る
(1) 以下文でフィルターする
http.request or ssl.handshake.type==1 or tcp.flags eq 0x002 or dns or ftp
(2) 得られたフレームから抜粋して説明する
- FTP(File Transfer Protocol)のデータ転送しているフレームのInformationについて
Request: SIZE fc32.exe
Response: 213 670720
- FTPの
SIZE
コマンド- クライアントは、サーバーに対してfc32.exeファイルのサイズを問い合わせている
- サイズは
670720 byte
であることがわかる
- FTPの
- 続くFTPのフレームについて
Request: RETR fc32.exe
Response: 150-Accepted data connection
- クライアントは、fc32.exeファイルをダウンロードするために
RETR
コマンドを送信
- クライアントは、fc32.exeファイルをダウンロードするために
- サーバーは、データ接続を受け入れたことを示す
150
レスポンスを送信 - 続くFTPのフレームについて
Response: 226-File successfully transferred
- FTPのファイル転送の完了を示す
- サーバーはファイルが正常に転送されたことを示す226レスポンスを送信
FTPコマンドについて
以下の4.1.3. FTP SERVICE COMMANDS
を参照する
RFC 959: File Transfer Protocol
一部抜粋
- USER: FTPサーバーにログインするためのユーザー名を指定する
- PASS: ユーザーのパスワードを指定する
- RETR: ファイルをダウンロードするために使用するコマンド。ファイルの名前を指定する
- STOR: ファイルをアップロードするために使用するコマンド。ファイルの名前を指定する
- DELE: FTPサーバーからファイルを削除するためのコマンド。ファイルの名前を指定する
- SIZE: ファイルのサイズを取得するためのコマンド。ファイルの名前を指定する
- LIST: FTPサーバー上のディレクトリの内容をリストするためのコマンド。オプションでファイル名を指定することもできる
一部抜粋
4.2.1 Reply Codes by Function Groups
FTP パッシブモード/アクティブモード
- アクティブモード
- FTP(File Transfer Protocol)でサーバーがクライアントが指定したポートに接続してデータを送信
- パッシブモード
Wireshark における FTPフィルターについて
Wireshark · Display Filter Reference: Secure Sockets Layer
Using-Wireshark-diplay-filters-FTP-malware.pcapの分析
- ftp.totallyanonymous[.]com のAレコード確認、IPアドレスが
192.185.230[.]61
とわかる 192.185.230[.]61
にて以下のユーザー名、パスワードでサインインする- Request: USER schw@totallyanonymous1[.]com
- Request: PASS 520s984W
192.185.230[.]61
からFTPにて以下のファイルをダウンロードする- fc32.exe
- o32.exe
- ip.exe
- fc64.exe
- o64.exe
- myexternalip[.]comのAレコード確認、IPアドレスが
78.47.139[.]102
とわかる 192.185.230[.]61
にリダイレクトされ、今度は異なるユーザー名とパスワードでサインインする- Request: USER schw@totallyanonymous[.]com
- Request: PASS 520s984W
STOR
コマンドを使用して、ファイルをアップロードする- Request: STOR 6R7MELYD6
- ログアウト
使用ファイル:Using-Wireshark-diplay-filters-spambot.pcap