18 oct 2012

Parseando pcap

Cuando usamos un analizador de paquetes para capturar las conexiones a veces es tedioso de mirar realmente que ha ocurrido con el tráfico.

Yo analizo pcaps sobretodo en los análisis de malware, y así soy capaz de ver donde se conecta una muestra en concreto.

Primero nos bajamos el pcap-parser:

seifreed@darkmac:~:git clone https://github.com/keithfancher/Parse-pcap.git

Este parser permite exportar los resultados a varios formatos:

python parse_pcap.py -husage: parse_pcap.py [-h] [-w] [-t] [-u] filenamepositional arguments:filename the pcap file to analyze and parseoptional arguments:-h, –help show this help message and exit-w, –output-html show output in HTML instead of plaintext-t, –get-titles fetch page titles; note that this can take a bit oftime!-u, –kill-untitled don’t return untitled pages in the output; this can bea good way to filter out “fake” requests and JS, CSS,etc.

Si por ejemplo, exportamos la salida en HTML

Aunque también podemos sacar los datos por consola:

seifreed@darkmac:~:python parse_pcap.py trafico_malware.pcapFri, Sep 14, 8:51:46 AMhttp://XXXXX.cu.cc/zaqiryt/file.phpFri, Sep 14, 8:51:46 AMhttp://XXXXX.cu.cc/zaqiryt/file.phpFri, Sep 14, 8:52:16 AMhttp://XXXXX.cu.cc/zaqiryt/gate.phpFri, Sep 14, 8:52:16 AMhttp://www.google.com/webhpFri, Sep 14, 8:52:17 AMhttp://www.google.es/webhpFri, Sep 14, 8:52:17 AMhttp://XXXXXX.cu.cc/zaqiryt/gate.phpFri, Sep 14, 8:53:47 AMhttp://XXXXX.cu.cc/zaqiryt/file.php

Podemos ver que el parser ha sido capaz de extraer las URL donde el malware se ha conectado.

2 comentarios:

  1. [...] Cuando usamos un analizador de paquetes para capturar las conexiones a veces es tedioso de mirar realmente que ha ocurrido con el tráfico.  [...]

    ResponderEliminar
  2. Holap, ¿Solo parsea conexiones http y no otros protocolos?, ¿en caso de que sea https no permite que se le pueda meter la clave privada para descifrar el tráfico?, no se, ¿que ventajas tiene este parseador con los filtros y herramientas de wireshark?

    ResponderEliminar