毫无疑问,Wireshark是目前应用最为广泛的网络流量分析工具,无论是实时网络流量分析,还是信息安全取证分析,或是恶意软件分析,Wireshark都是必不可缺的利器。尽管Wireshark为协议解析和过滤提供了极其强大的功能,但它暂时还无法提供任何有关目标网络节点的上下文信息。对于一名安全分析人员来说,TA必须梳理大量的PCAP文件来识别恶意活动,这就有点像大海捞针了。
wireshark-forensics-plugin是一个跨平台Wireshark插件,它能够将网络流量数据与威胁情报、资产分类和漏洞数据关联起来,以加速网络取证分析活动。该工具通过扩展Wireshark本地搜索过滤器来实现自身的功能,允许我们基于这些附加的上下文属性进行数据过滤。除此之外,该工具还可以处理PCAP文件并进行实时的流量捕捉。
1、加载从MISP等威胁情报平台导出的恶意标识CSV,并将其与网络流量中的每个源/目标IP相关联。
根据IP范围到资产类型的映射加载资产分类信息,该映射能够过滤特定类型资产的传入/传出流量(例如,过滤“数据库服务器”、“员工笔记本电脑”等)。
2、将从Qualys/Nessus导出的漏洞扫描信息加载到CVE。
3、扩展本机Wireshark过滤器的功能,允许基于网络日志中每个源或目标IP地址的严重性、源、资产类型和CVE信息进行过滤。
首先,我们需要使用下列命令将该项目源码克隆至本地:
git?clone?https://github.com/rjbhide/wireshark-forensics-plugin.git
项目中的data/formatted_reports目录包含三个文件:
asset_tags.csv:有关资产IP/域/CIDR和相关标签的信息,并提供了针对内网IP和DNS服务器的参考示例;
asset_vulnerabilities.csv:关于每项资产的CVE ID和最高CVSS评分的详细信息;
indicators.csv:入侵威胁指标IoC数据,包含属性类型、值、严重性和威胁类型;
上述的三个文件都可以手动编辑,或者可以使用导出的MISP和Tenable Nessus扫描报告生成漏洞和指标文件。此时,需要将导出的文件放在以下指定了确切名称的文件夹下:
data/raw_reports/misp.csv:该文件可以通过以下路径从MISP导出:“Export->CSV_Sig->Generate then Download”;
data/raw_reports/nessus.csv:该文件可以通过Tenable Nessus接口导出;
接下来,选择“Options->Export as CSV->Select All->Submit”,将下载下来的文件重命名为nessus.csv,然后拷贝至“raw_reports/nessus.csv”。
如果你打算从ThreatStream获取数据而不是MISP的话,则需要在config.json文件中提供用户名、API密钥和过滤器信息。每次你运行Python脚本时,工具都会尝试从ThreatStream获取最新的IoC并将其存储至data/formatted_reports/indicators.csv文件中。
如果你使用的是Windows系统,可以直接运行wft.exe,如果是macOS或Ubuntu的话,则需要运行“python?wtf.py”来安装和更新报告文件。脚本将会自动寻找Wireshark的安装路径。
安装完成之后,打开Wireshark,点击“Edit->Configuration Profiles”,选择“wireshark_forensics_toolkit”:
现在,启动Wireshark,打开一个PCAP文件或开启实时数据捕捉:
wft.src.domain (使用以前的DNS流量进行源/域解析)
wft.src.detection (使用IOC数据进行源IP/域检测)
wft.src.severity (使用IOC数据的源IP/域检测漏洞严重性)
wft.src.threat_type (使用IOC数据的源IP/域检测威胁类型的严重性)
wft.src.tags (源IP/域资产标签)
wft.src.os (漏洞报告中指定的源IP/域操作系统)
wft.src.cve_ids (源IP/域的CVE?ID列表,以逗号分隔)
wft.src.top_cvss_score (给定主机的所有CVE ID中的CVSS评分)
wireshark-forensics-plugin:【GitHub传送门】
很赞哦! (119)