Wiresharkパケット解析講座(4) pcapからオブジェクトをエクスポートする 備忘録
以下の記事を読んだ際の個人的な備忘録です
pcapからさまざまな種類のオブジェクトを出力するためのヒント集
HTTPトラフィックからのオブジェクトのエクスポート
extracting-objects-from-pcap-example-01.pcap
-
以下でフィルタリングを行う
http.request
-
不審な.docと.exeのダウンロードフレームを確認したのち、[Filter] - [Export Objects] - [HTTP…] を選択してオブジェクトをダウンロードする
-
Content type が誤りの可能性も考慮して、ファイルに対して以下のコマンドを実行する
#ファイルの正式な種類を特定する file "filename" #ファイルのSHA256ハッシュを取得する shasum -a 256 "filename"
extracting-objects-from-pcap-example-02.pcap
フィッシングサイトからのネットワークトラフィックをレビューしたい場合、
[Filter] - [Export Objects] - [HTTP…] を選択して元のHTMLページの抽出も可能
SMBトラフィックからのオブジェクトのエクスポート
extracting-objects-from-pcap-example-03.pcap
SMBを使って感染済みクライアント(10.6.26.110)からドメイン コントローラ(10.6.26.6)に広がろうとしたTrickbot感染を取り上げる
[Filter] - [Export Objects] - [SMB…] を選択することで、SMBプロトコルによって通信されていたファイルの出力が可能
[Content Type]が100%になっていないと抽出できない
SMTPトラフィックからの電子メールのエクスポート
extracting-objects-from-pcap-example-04.pcap
-
以下のフィルター文で処理する
smtp.data.fragment
-
[Filter] - [Export Objects] - [IMF…] を選択して.emlファイルの抽出も可能
💡 IMF: Internet Message Format
FTPトラフィックからのファイルのエクスポート
extracting-objects-from-pcap-example-05.pcap
-
以下のフィルター文にて、FTPコマンドを確認する
ftp.request.command
-
以下のフィルター文にて、FTPデータチャネルのトラフィックを確認できる
ftp-data
-
FTPにてやりとりされたファイルのエクスポートはできないが、TCPストリームを辿ることは可能。Informationの末尾が「…( SIZE q.exe)」のフレームを右クリックして[Follow] - [TCP Stream]を選択する
-
これにより、FTPデータチャネルを経由するq.exeのTCPストリームが表示される。 [show data as] を [ASCII]から[Raw]に変更し、[save as..]より保存する
-
以下のコマンドを使用して保存したファイルがEXEであり、SHA256ハッシュの確認ができる(MacまたはLinux環境で実施する)
file q.exe q.exe:PE32 executable (GUI) Intel 80386, for MS Windows shasum -a 256 q.exe ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q.exe
-
感染したWindowsホストがFTPサーバーに返送したファイルを確認する。HTMLファイルが
STOR
されていることが確認できるftp.request.command
-
以下のフィルター文を使用して、FTPチャネル経由で送信された関連ファイルを確認する
ftp-data.command contains ".html"
-
HTMLファイルを出力することができる、Windowsホストの情報が送信されていることを確認できる