Análisis de paquetes del tráfico IRC

1

He estado realizando este análisis de tráfico de malware ejercicios y parte El tráfico malicioso detectado es el tráfico IRC sobre el puerto no estándar 443. La regla ET Snort lo recoge sid: 2000348 ; rev: 15

El contenido de la regla es

  

"ÚNETE"; no hay caso; profundidad: 5; pcre: "/ & | # | + |! / R"

¿Cómo encontraría este comando IRC JOIN si tuviera que analizar el pcap usando Wireshark? ¿Hay alguna manera de que pueda buscar en todo el pcap la cadena "ÚNETE"? ¿Admite Wireshark el uso de expresiones regulares como la regla Snort anterior?

    
pregunta Heisenberg 22.02.2018 - 00:53
fuente

1 respuesta

1

Una solución sería utilizar una utilidad como ngrep (http://ngrep.sourceforge.net/usage.html) y pásale el archivo .pcap junto con una expresión regular.

EX: ngrep -q -I file.pcap|grep -i user

Se puede encontrar un ejemplo de esto en la web AQUÍ

Fragmento de trustwave.com

  

5) Busca cadenas de texto usando ngrep

     

Esto es útil para buscar cualquier cadena específica o expresión regular que desee, por ejemplo,   busque "contraseña", "tarjeta", "nombre de usuario", etc.   FTP, HTTP o contraseñas POP como ejemplos. Aunque esto es un simple   por ejemplo, ngrep puede usarse para expresiones regulares complejas.

     

ngrep -q -I file.pcap | grep -i usuario

     

por ejemplo

     

.......... < TRUNCADO > ..........

     

en "id=" secure_username "name=" username "value=" "/ > ......      

.......... < TRUNCADO > ..........

     

6) Encuentra correos electrónicos usando ngrep ...

Qué expresión regular usar: Recomendaría aprender a elaborar expresiones regulares si aún no lo ha hecho, ya que son muy útiles. (No probado): ~JOIN

EDITAR: Si debe usar wireshark y no ngrep, entonces creo que wireshark usa expresiones regulares de estilo perl

    
respondido por el Kyle 22.02.2018 - 02:49
fuente

Lea otras preguntas en las etiquetas