Wiresharkパケット解析講座(4) pcapからオブジェクトをエクスポートする備忘録

以下の記事を読んだ際の個人的な備忘録です

pcapからさまざまな種類のオブジェクトを出力するためのヒント集

extracting-objects-from-pcap-example-01.pcap

以下でフィルタリングを行う
```
http.request
```
不審な.docと.exeのダウンロードフレームを確認したのち、[Filter] - [Export Objects] - [HTTP…] を選択してオブジェクトをダウンロードする

Content type が誤りの可能性も考慮して、ファイルに対して以下のコマンドを実行する

#ファイルの正式な種類を特定する
file "filename"

#ファイルのSHA256ハッシュを取得する
shasum -a 256 "filename"

extracting-objects-from-pcap-example-02.pcap

フィッシングサイトからのネットワークトラフィックをレビューしたい場合、

[Filter] - [Export Objects] - [HTTP…] を選択して元のHTMLページの抽出も可能

extracting-objects-from-pcap-example-03.pcap

SMBを使って感染済みクライアント(10.6.26.110)からドメインコントローラ(10.6.26.6)に広がろうとしたTrickbot感染を取り上げる

[Filter] - [Export Objects] - [SMB…] を選択することで、SMBプロトコルによって通信されていたファイルの出力が可能

[Content Type]が100%になっていないと抽出できない

extracting-objects-from-pcap-example-04.pcap

以下のフィルター文で処理する
```
smtp.data.fragment
```
[Filter] - [Export Objects] - [IMF…] を選択して.emlファイルの抽出も可能

💡 IMF: Internet Message Format

extracting-objects-from-pcap-example-05.pcap

以下のフィルター文にて、FTPコマンドを確認する
```
ftp.request.command
```
以下のフィルター文にて、FTPデータチャネルのトラフィックを確認できる
```
ftp-data
```
FTPにてやりとりされたファイルのエクスポートはできないが、TCPストリームを辿ることは可能。Informationの末尾が「…( SIZE q.exe)」のフレームを右クリックして[Follow] - [TCP Stream]を選択する
これにより、FTPデータチャネルを経由するq.exeのTCPストリームが表示される。 [show data as] を [ASCII]から[Raw]に変更し、[save as..]より保存する
以下のコマンドを使用して保存したファイルがEXEであり、SHA256ハッシュの確認ができる（MacまたはLinux環境で実施する）
```
file q.exe
q.exe:PE32 executable (GUI) Intel 80386, for MS Windows

shasum -a 256 q.exe
ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q.exe
```
感染したWindowsホストがFTPサーバーに返送したファイルを確認する。HTMLファイルが STOR されていることが確認できる
```
ftp.request.command
```
以下のフィルター文を使用して、FTPチャネル経由で送信された関連ファイルを確認する
```
ftp-data.command contains ".html"
```
HTMLファイルを出力することができる、Windowsホストの情報が送信されていることを確認できる

imdays