So erhalten Sie Details, z. B. Remote-IP- über von Suricata generierte Warnung nach dem Scannen einer pcap-Datei

501
Lord_JABA

Ich wollte die Sicherheit meines Android-Telefons testen, also ließ ich es für einen Tag laufen, in dem tcpdump im Hintergrund lief.

Dann sende ich die resultierende pcap an virustotal.com. Sie scannen die pcap-Datei mit Snort und Suricata.

In dem Bericht habe ich Alarm für ET MOBILE MALWARE Google Android Device HTTP Request

Wie kann ich weitere Informationen zu Paketen erhalten, die den Alarm ausgelöst haben? Ich interessiere mich hauptsächlich für Remote-IP, aber der Inhalt ist zu hilfreich, wenn ich herausfinden möchte, welche App den Alarm ausgelöst hat usw.

Ich habe eine Linux-Maschine, um die Datei weiter zu analysieren, weiß aber nicht, wo ich anfangen soll. Ich gehe davon aus, wenn ich gerade laufe suricata -r my.pcap., wird es mir dieselbe Ausgabe geben und nichts mehr. Wie bekomme ich mehr Details?

0

1 Antwort auf die Frage

0
Fazer87

Erstens sollten Sie keine PCAP-Daten Ihrer Telefone an Dritte gesendet haben, wenn Sie sich wirklich Sorgen um die Sicherheit machen. Es gibt zahlreiche Tools, mit denen Sie diese Art von Analyse selbst durchführen können.

Als nächstes sollte dies ziemlich einfach zu analysieren sein.

Richten Sie einen Filter in NetMon, Wireshark, ein beliebiges Werkzeug Ihrer Wahl ein, und filtern Sie das Protokoll HTTP. Dadurch erhalten Sie nur den relevanten Verkehrstyp. Schauen Sie sich die Quell- und Ziel-IPs an und Sie sollten es ziemlich schnell finden.

Ein weiteres gutes Werkzeug zum Ausprobieren ist http://www.cs.bham.ac.uk/~tpc/PCAP/

Der Entwickler dieses Tools hat in seinem Bereich einen sehr hohen Stellenwert (Meinung, ich weiß es!), Und da ich dieses Tool selbst verwendet habe, um Datenflüsse von meinen Maschinen zu analysieren, weiß ich, dass es Ihre Daten überhaupt nicht auf ihn repliziert.

Ich bin nicht geschickt genug, um verdächtige Pakete mit dem Auge oder mit Wireshark-Filtern zu erkennen. Um meine Frage zu verfeinern: Wie kann ich herausfinden, welche Pakete welcher Suricata / Snort-Warnung entsprechen? zum Beispiel Ich habe die Warnung "ET MOBILE_MALWARE" von Google Android-Gerät (potenzielle Verstöße gegen den Datenschutz) von suricata erhalten - wie Sie weitere Informationen dazu erhalten, was von der pcap-Datei ausgelöst wurde. Beim Senden von Dateien haben Sie recht, aber ich vertraue eher auf virustotal.com (es ist kein zufälliger Online-Dienst) - aus irgendeinem Grund auch nicht? Lord_JABA vor 8 Jahren 0