位置:首页 > 安全分类 > WEB安全

wireshark-forensics-plugin:一款功能强大的Wireshark网络取证分析插...

  • 2022-02-24 15:11:01
简介 wireshark-forensics-plugin介绍毫无疑问,Wireshark是目前应用最为广泛的网络流量分析工具,无论是实时网络流量分析,还是信息安全取证分析,或是恶意软件分析,Wiresha


wireshark-forensics-plugin介绍

毫无疑问,Wireshark是目前应用最为广泛的网络流量分析工具,无论是实时网络流量分析,还是信息安全取证分析,或是恶意软件分析,Wireshark都是必不可缺的利器。尽管Wireshark为协议解析和过滤提供了极其强大的功能,但它暂时还无法提供任何有关目标网络节点的上下文信息。对于一名安全分析人员来说,TA必须梳理大量的PCAP文件来识别恶意活动,这就有点像大海捞针了。

wireshark-forensics-plugin是一个跨平台Wireshark插件,它能够将网络流量数据与威胁情报、资产分类和漏洞数据关联起来,以加速网络取证分析活动。该工具通过扩展Wireshark本地搜索过滤器来实现自身的功能,允许我们基于这些附加的上下文属性进行数据过滤。除此之外,该工具还可以处理PCAP文件并进行实时的流量捕捉。

工具功能

1、加载从MISP等威胁情报平台导出的恶意标识CSV,并将其与网络流量中的每个源/目标IP相关联。

根据IP范围到资产类型的映射加载资产分类信息,该映射能够过滤特定类型资产的传入/传出流量(例如,过滤“数据库服务器”、“员工笔记本电脑”等)。

2、将从Qualys/Nessus导出的漏洞扫描信息加载到CVE。

3、扩展本机Wireshark过滤器的功能,允许基于网络日志中每个源或目标IP地址的严重性、源、资产类型和CVE信息进行过滤。

工具使用

首先,我们需要使用下列命令将该项目源码克隆至本地:

git?clone?https://github.com/rjbhide/wireshark-forensics-plugin.git

项目中的data/formatted_reports目录包含三个文件:

asset_tags.csv:有关资产IP/域/CIDR和相关标签的信息,并提供了针对内网IP和DNS服务器的参考示例;

asset_vulnerabilities.csv:关于每项资产的CVE ID和最高CVSS评分的详细信息;

indicators.csv:入侵威胁指标IoC数据,包含属性类型、值、严重性和威胁类型;

上述的三个文件都可以手动编辑,或者可以使用导出的MISP和Tenable Nessus扫描报告生成漏洞和指标文件。此时,需要将导出的文件放在以下指定了确切名称的文件夹下:

data/raw_reports/misp.csv:该文件可以通过以下路径从MISP导出:“Export->CSV_Sig->Generate then Download”;

data/raw_reports/nessus.csv:该文件可以通过Tenable Nessus接口导出;

接下来,选择“Options->Export as CSV->Select All->Submit”,将下载下来的文件重命名为nessus.csv,然后拷贝至“raw_reports/nessus.csv”。

如果你打算从ThreatStream获取数据而不是MISP的话,则需要在config.json文件中提供用户名、API密钥和过滤器信息。每次你运行Python脚本时,工具都会尝试从ThreatStream获取最新的IoC并将其存储至data/formatted_reports/indicators.csv文件中。

如果你使用的是Windows系统,可以直接运行wft.exe,如果是macOS或Ubuntu的话,则需要运行“python?wtf.py”来安装和更新报告文件。脚本将会自动寻找Wireshark的安装路径。

安装完成之后,打开Wireshark,点击“Edit->Configuration Profiles”,选择“wireshark_forensics_toolkit”:

现在,启动Wireshark,打开一个PCAP文件或开启实时数据捕捉:

可用的过滤器列表

wft.src.domain (使用以前的DNS流量进行源/域解析)

wft.src.detection (使用IOC数据进行源IP/域检测)

wft.src.severity (使用IOC数据的源IP/域检测漏洞严重性)

wft.src.threat_type (使用IOC数据的源IP/域检测威胁类型的严重性)

wft.src.tags (源IP/域资产标签)

wft.src.os (漏洞报告中指定的源IP/域操作系统)

wft.src.cve_ids (源IP/域的CVE?ID列表,以逗号分隔)

wft.src.top_cvss_score (给定主机的所有CVE ID中的CVSS评分)

项目地址

wireshark-forensics-plugin:GitHub传送门

很赞哦! (119)