11 oct 2011

NetworkMiner, analizando un pcap

Hola!

Muy buenas a todos/as!

Cuando capturamos, por ejemplo, con Wireshark el tráfico  de red, el formato de salida es un pcap. Este pcap podemos leerlo con el propio Wireshark o podemos pasarle herramientas y extraer aquella información que nos interese de manera útil.

Una de esas herramientas es NetworkMiner, yo para la prueba he ejecutado un troyano pendiente de analizar y me he guardado el pcap, y ahora veremos la salida del archivo que ha generado.

Este es el aspecto de NetworkMiner, NetworkMiner nos permite también hacer la parte de capturar el tráfico. Como nosotros ya tenemos la captura ahora sólo tenedremos que abrir el archivo pcap.

Aquí podemos ver que el troyano en cuestión ha hecho varias conexiones a Wanadoo.

Además podemos observar que por SMTP, ha enviado unas credenciales en texto plano.

Extraemos del pcap las sesiones establecidas, entre ellas SSL y SMTP.

Y las resoluciones DNS.

habéis podido comprobar que con varios clics es sencillo extraer de manera sencilla cierta información del pcap.

Un saludo.

 

2 comentarios:

  1. Gracias por el articulo, muy interesante, la verdad es que te simplifica el dejarte los ojos con el wireshark... saludos

    ResponderEliminar
  2. [...] a echar mano de NetworkMiner para este análisis, siguiendo los pasos que los amigos de Fluproject publicaron en su [...]

    ResponderEliminar