Parseando pcap

Cuando usamos un analizador de paquetes para capturar las conexiones a veces es tedioso de mirar realmente que ha ocurrido con el tráfico.

Yo analizo pcaps sobretodo en los análisis de malware, y así soy capaz de ver donde se conecta una muestra en concreto.

Primero nos bajamos el pcap-parser:

seifreed@darkmac:~:git clone https://github.com/keithfancher/Parse-pcap.git

Este parser permite exportar los resultados a varios formatos:

python parse_pcap.py -husage: parse_pcap.py [-h] [-w] [-t] [-u] filenamepositional arguments:filename the pcap file to analyze and parseoptional arguments:-h, –help show this help message and exit-w, –output-html show output in HTML instead of plaintext-t, –get-titles fetch page titles; note that this can take a bit oftime!-u, –kill-untitled don’t return untitled pages in the output; this can bea good way to filter out “fake” requests and JS, CSS,etc.

Si por ejemplo, exportamos la salida en HTML

Aunque también podemos sacar los datos por consola:

seifreed@darkmac:~:python parse_pcap.py trafico_malware.pcapFri, Sep 14, 8:51:46 AMhttp://XXXXX.cu.cc/zaqiryt/file.phpFri, Sep 14, 8:51:46 AMhttp://XXXXX.cu.cc/zaqiryt/file.phpFri, Sep 14, 8:52:16 AMhttp://XXXXX.cu.cc/zaqiryt/gate.phpFri, Sep 14, 8:52:16 AMhttp://www.google.com/webhpFri, Sep 14, 8:52:17 AMhttp://www.google.es/webhpFri, Sep 14, 8:52:17 AMhttp://XXXXXX.cu.cc/zaqiryt/gate.phpFri, Sep 14, 8:53:47 AMhttp://XXXXX.cu.cc/zaqiryt/file.php

Podemos ver que el parser ha sido capaz de extraer las URL donde el malware se ha conectado.