Brute Haai is een volledig gratis tool voor Windows besturingssystemen waarmee we gemakkelijk en snel een forensische netwerkanalyse kunnen uitvoeren. Deze NFAT (Netwerk Forensic Analysis Tool) tool stelt ons in staat om een diepgaande inspectie en verwerking van netwerkverkeer uit te voeren, het kan werken met PCAP-bestanden die al eerder zijn vastgelegd met programma's zoals WireShark, of direct alle informatie van de netwerkinterface vastleggen, bekabeld of draadloos. Vandaag gaan we je in dit artikel alle kenmerken van dit zeer interessante programma laten zien, en we zullen je ook laten zien hoe het werkt.
belangrijkste kenmerken
De belangrijkste kenmerken van dit programma zijn dat het ons in staat zal stellen een forensische netwerkanalyse uit te voeren met PCAP-verkeersregistraties, hoewel we ook de mogelijkheid hebben om al het verkeer van de bekabelde of WiFi netwerkkaart is het echter compatibel met WireShark omdat het 's werelds meest gebruikte protocolanalysator is. Andere belangrijke kenmerken zijn dat het u in staat stelt om wachtwoorden rechtstreeks in platte tekst te extraheren uit gegevens, zonder dat we al het verkeer in detail hoeven te inspecteren, het is volledig automatisch. We kunnen ook een kaart van het netwerk bouwen, TCP-sessies opnieuw opbouwen, we kunnen de hashes van de gecodeerde wachtwoorden extraheren en ze zelfs converteren naar Hashcat-formaat om ze later te proberen te kraken met dit programma, door een brute force-aanval of offline woordenboek uit te voeren.
Het primaire doel van dit BruteShark-programma is om een uitgebreide oplossing te bieden voor IT-beveiligingsonderzoekers en netwerk- en systeembeheerders om potentiële problemen, zwakheden, bedreigingen op het lokale netwerk en andere beveiligingsfouten te identificeren waartoe een toekomstige aanval zou kunnen leiden. Dit programma is beschikbaar in twee duidelijk verschillende versies, we zullen een versie hebben met een grafische gebruikersinterface voor het Windows-systeem, en we zullen ook een opdrachtregelversie hebben (we zullen draaien in een terminal) die compatibel is met Windows en Linux besturingssystemen. Uiteraard kan dit programma probleemloos het netwerkverkeer van Windows-, Linux- of macOS-computers analyseren.
Dit programma kan gebruikersnamen en wachtwoorden extraheren en decoderen uit protocollen zoals HTTP, FTP, Telnet, IMAP, SMTP en vele andere, dat wil zeggen alle protocollen die geen end-to-end-codering hebben, zoals HTTPS, FTPES, SSH en vele anderen. Dit programma is ook in staat om de hashes te extraheren en ze om te zetten in Kerberos-, NTLM-, CRAM-MD5-, HTTP-Digest-formaten en meer, natuurlijk kunt u een visueel netwerkdiagram maken met de gebruikers en de verschillende netwerkapparaten, het is ook in staat om alles te extraheren DNS query's die zijn gemaakt (zolang DoH of DoT niet wordt gebruikt, die is gecodeerd), het maakt het ook mogelijk om TCP- en UDP-sessies te reconstrueren, bestanden te carven en zelfs VoIP-oproepen uit te pakken als SIP-protocollen en RTP worden gebruikt.
Zodra we alle functies van dit programma kennen, laten we eens kijken hoe het in detail werkt.
Downloaden en installeren op Windows
Als u geïnteresseerd bent om dit programma op Windows te installeren, kunt u twee versies downloaden:
De enige vereiste is dat WinPcap of NPcap is geïnstalleerd. We moeten niet vergeten dat als u WireShark hebt geïnstalleerd, u een van beide stuurprogramma's hebt geïnstalleerd. U moet ook de .NET Core Runtime installeren om deze uit te voeren.
Als je dit programma op Linux-systemen gaat installeren, moet je libpcap hebben geïnstalleerd, dan zullen we de volgende commando's uitvoeren:
find /usr/lib/x86_64-linux-gnu -type f | grep libpcap | head -1 | xargs -i sudo ln -s {} /usr/lib/x86_64-linux-gnu/libpcap.so
wget https://github.com/odedshimon/BruteShark/releases/latest/download/BruteSharkCli
./BruteSharkCli
Eenmaal geïnstalleerd, gaan we verder met het uitvoeren ervan, we moeten onthouden dat we alleen een grafische gebruikersinterface zullen hebben in Windows-besturingssystemen, in Linux zullen we commando's per console moeten uitvoeren.
Hoe BruteShark werkt
Dit programma werkt op een heel eenvoudige manier, het eerste dat u moet doen, is een PCAP-bestand uploaden om te analyseren en vervolgens het bestand of de bestanden die we hebben geüpload analyseren. We hebben ook de mogelijkheid om TCP- en UDP-sessies te bouwen en zelfs te beginnen met het vastleggen van netwerkgegevens. Als u geen opname heeft om te analyseren, kunt u dit programma gebruiken in plaats van WireShark te gebruiken, de opname in PCAP exporteren en later in dit programma importeren. Op deze manier kunnen we het veel gemakkelijker doen met een enkel programma.
Aan de linkerkant van het programma kunnen we de gebruikersreferenties zien die zich in het netwerkverkeer bevinden, ze zullen ons zowel de wachtwoorden in platte tekst laten zien (als protocollen zonder codering zijn gebruikt), en het zal ons ook de hashes tonen als we gebruik maken van Kerberos, NTLM en de andere protocollen die we eerder hebben besproken. In deze sectie zullen we ook het netwerkdiagram, de uitgevoerde sessies, de DNS-verzoeken kunnen zien en ten slotte zullen we de mogelijke bestanden vinden die het heeft vastgelegd en de VoIP-oproepen als we die hebben gedaan.
Als we netwerkverkeer van een van de netwerkinterfaces willen vastleggen, is het absoluut noodzakelijk om BruteShark uit te voeren met beheerdersrechten, anders krijgen we niet eens de bedrade en WiFi-netwerkkaarten die we op onze computer hebben.
We moeten ook in gedachten houden dat, als we WireShark gaan gebruiken, we de opnames in PCAP-formaat moeten exporteren en niet PCAPNG zoals standaard gebeurt, omdat we de volgende foutmelding krijgen. We hebben twee opties, ofwel WireShark gebruiken en opslaan als PCAP, of het tshark-programma gebruiken via de opdrachtregel.
Wanneer we een compatibele PCAP-opname openen, moeten we klikken op "Bestanden analyseren" en het zal de opname beginnen te analyseren. Dit kan enkele seconden tot een paar uur duren, afhankelijk van de grootte van de opname die het BruteShark-programma heeft analyseren.
In ons geval hebben we altijd DNS- en HTTPS-verbindingen gebruikt, daarom heeft het geen wachtwoord of wachtwoordhashes vastgelegd door Kerberos of NTLM niet te gebruiken. Wat we kunnen zien is de netwerkkaart van alle ingediende verzoeken.
We kunnen ook alle sessies zien die vanaf onze computer zijn gemaakt, met het bijbehorende bron- en bestemmings-IP-adres, evenals de bronpoort en de bestemmingspoort.
Ten slotte kunnen we alle DNS-verzoeken zien die zijn gedaan tijdens het vastleggen van gegevens, bijvoorbeeld onze website, American Express, Interactive Brokers en vele andere die u hieronder kunt zien:
Zoals je hebt gezien, is het gebruik van dit programma om referenties, DNS-verzoeken te extraheren, de netwerkkaart, sessies en zelfs bestanden of informatie over VoIP-oproepen te bekijken, heel gemakkelijk te gebruiken, dezelfde informatie zou worden verkregen door de vastlegging van WireShark-gegevens te bekijken, maar het duurt langer als we niet de juiste filters gebruiken, dus BruteShark maakt dit een stuk gemakkelijker voor ons.