PCAP Analysis
كتب في 2020-03-11
مقدمة
اهلاً بكم، في هذا المقال سوف اقوم بشرح تحليل ملف pcap لحظة اصابه جهاز بداخل الشبكة ب برمجية خبيثة.
هنا تجد المصادر لملف
pcapflie
عناصر المقالة:
مقدمة في Wireshark
ترتيب وتنظيم واجهة (Wireshark)
البرمجية الخبيثة
خطوات حل التحدي
مقدمة في Wireshark
Wireshark يعد من أهم أدوات تحليل الشبكات ان لم يكن الأهم، برنامج Wireshark برنامج مفتوح المصدر، يقوم بتحليل الشبكة، بروتوكلاتها ، تفاصيل الأجهزة بالشبكة معرفة المشاكل في الشبكة -ان وجد- وتحديد مكان تواجدها، يُستفاد من البرنامج في تحليل وضع الشبكة كمية ونوع البيانات المرسله من والى داخل الشبكة، حجم البيانات المستخدمة لكل جهاز بالشبكة .. الخ.
يستفاد أيضا من برنامج Wireshark في تحليل الأجهزة المصابه بالبرمجيات الخبيثة، تحديد تفاصيل هذه الأجهزة، الوقت التي تمت في الاصابة، من اين وكيف تمت اصابة الآجهزة ببرمجية xخبيثة، وهذا هو الهدف من مقالنا هذا.
ترتيب وتنظيم واجهة (Wireshark)
في اللحظة التي يتم فيها تشغيل Wireshark سوف يقوم بجمع كل بيانات الشبكة (Traffic)،وعند التحليل قد لا يهمنا وجود كل هذه البيانات مما قد يجعل مهمة التحليل اصعب، لذلك سوف نقوم بترتيب البرنامج بحيث يسهل علينا ايجاد ما نبحث عنه بكل سهولة.
أولا: ترتيب الأعمدة واظهار ما نحتاج اليه فقط:
تنبيه: يوجد طريقتين ل إظهار هذه الأعمدة وسيتضح ذلك مع الشرح
في هذا المثال نحتاج للقوائم التالية:
source ip
source port
Destination ip
Destination port
HTTP
HTTPS
Info
CNameString
الطريقة الأولى:
اضغط بزر الفارة الأيمن اختر Column Preference
اضغط على علامة +
ستظهر بيانات العمود الجديد بالقائمة (بالجزء الأيسر قم باختيار الاسم المناسب للعمود مثلا source ip)
بالجزء الأيمن قم ب إختيار نوع العمود وفي مثالنا هنا سيكون source address
قم بالضغط على OK
الطريقة الثانية :
الطريقة الثانية تعتمد على نقل معلومات من خانة (Frame) ل أعمدة. مثال CNameString
من مربع كتابة الفلتر نقوم بكتابة kerberos.CNameString
نقوم ب إختيار kerberos 3.نقوم ب إختيار as-req
ثم إختيار req-body
ثم إختيار cname
ثم cname-string
الضغط بزر الفأرة الأيمن ثم اختيار Apply as a Column
ثانيا: تصفية النتائج (Filter)
كما ذكرت في بداية هذا الجزء، قد لا يهمنا في التحليل كل النتائج لذلك نستعين ب Filter ل تصفيه النتائج وإظهار ما نبحث عنه فقط.
يختلف ملف pcap عن الاخر في التصفيه يعتمد على ما نبحث عنه بالضبط. وقد لا يسعنا في هذا المقال التحدث عنه بالتفصيل لذلك سوف أرفق ملف cheat sheet لمعرفة كل أنواع وأشكال ال filter ولكن سوف أقوم بذكر بعض الأمثله خصوصا ما قد نستخدمه ل حل هذا التحدي.
للبحث عن IP Address في حالة البحث عن المرسل ip.src == 10.20.30.227
في حالة البحث عن المستقبل ip.dst == 10.20.30.1
وفي حالة البحث عن العنوان بشكل عام بدون تحديد ما اذا كان مرسل ام مستقبل ip.addr == 10.20.30.227
ل إظهار النتائج المرتبطه ب HTTP يمكن فقط كتابة http وسيتم إظهار كل النتائج سواءاً request او accept او cookie .... الخ ويمكن ايضا تحديد بشكل مفصل جدا ما نبحث عن مثلاً نتائج request http.request أو نتائج ال accept http.accept
ل إظهار النتائج المرتبطه ب HTTPS ssl.handshake.type == 1
يمكن البحث ب نوع البرتوكول ب مجرد كتابة البرتوكول مثل: dns, ftp, arp, ssh, telnet, icmp
سوف تتضح بعض الأمثلة الأخرى في جزئية حل التحدي في هذا المقال.
تجدون جميع الfilters الممكنه هنا.
وافضل ايضا الإطلاع على هذا الملف ايضا يوجد فيه بإختصار اشهر ما قد نستخدمه
البرمجية الخبيثة
بداية، احببت ان اتحدث بشكل مبسط عن نوع البرمجية الخبيثة التي اصابت الجهاز حتى نفهم الشيء الذي نبحث عنه بشكل أفضل وكما موضح ب الصورة التالية: