NetworkMiner, analizando un pcap
Hola!
Muy buenas a todos/as!
Cuando capturamos, por ejemplo, con Wireshark el tráfico de red, el formato de salida es un pcap. Este pcap podemos leerlo con el propio Wireshark o podemos pasarle herramientas y extraer aquella información quenos interese de manera útil.
Una de esas herramientas es NetworkMiner, yo para la prueba he ejecutado un troyano pendiente de analizar y me he guardado el pcap, y ahora veremos la salida del arechivo que ha generado.
Este es el aspecto de NetworkMiner, NetworkMiner nos permite también hacer la parte de capturar el tráfico. Como nosotros ya tenemos la captura ahora sólo tenedremos que abrir el archivo pcap
Aquí podemos ver que el troyano en cuestión ha echo varias conexiones a Wanadoo.
Además podemos observar que por SMTP, ha enviado unas credenciales en texto plano.
Extraemos del pcap las sesiones establecidas, entre ellas SSL y SMTP.
Y las resoluciones DNS.
habéis podido comprobar que con varios clics es sencillo extraer de manera sencilla cierta información del pcap.
Un saludo
Microsoft Coffee
Un día mas, podemos encontrar una suite de herramientas con la que podemos extraer información de un equipo.
Una suite de herramientas desarrollada en principio por Microsoft. Además que la puedes llevar en tu USB.
Se trata de Microsoft Coffee.
Que es y de que está formado Microsoft Coffee?
es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales en junio pasado.
El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.
Una vez descargada la herramienta, vamos a crear la unidad USB.
Creando USB Coffee
Ejecutamos COFFE.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Coffee
Ya tenemos nuestra unidad USB comprobemos…
Como veis aqui tenemos nuestra unidad USB Coffee.
Ahora vamos a utilizar Coffee
Utilizando Cofffee
En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…
Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.
En cada una de esas carpetas hay información obtenida de nuestro equipo.
Información extraída
Después de los test que se han realizado, podemos entrar en alguna de las carpetas y ver la información extraída:
Aquí podemos ver que ha sacado una información de los servicios que hay sobre nuestra máquina.
Y ya está!
Como podéis comprobar la herramienta está muy bien y además echa por la gente de Redmon.
Saludos.
Toolkit forense MIR-ROR
Leyendo SBD me encuentro con esta herramienta que es capaz de hacer las siguientes cosas:
- Puertos TCP/UDP en uso
- Software instalado
- Servicios en ejecución,
- Cuentas administrativas
- Procesos en ejecución
Bueno así que lo he probado.
Para utilizar esta herramienta hay que descargar varias cosas.
Primero la suite Sysinternals.
Luego nos tendremos que descargar el toolkit de MIR-ROR
Y la aplicación que nos hará el volcado.
Todo lo hemos de poner en una misma carpeta.
Por ejemplo yo lo he puesto todo en C:\Forense
Ahora vamos a ejecutar la herramienta de volcado.
Ahora podemos ver el fichero desde consola por ejemplo:
Y ahora de manera gráfica,
Y de esta manera ya tendremos un análisis de Windows.
Podéis ver la notícia de Security By Default desde aquí::
http://www.securitybydefault.com/2009/09/toolkit-forense-mir-ror.html
Saludos
