BruteShark: бесплатная программа сетевого криминалистического анализа для просмотра трафика

грубая акула это совершенно бесплатный инструмент для Windows операционные системы, которые позволят нам легко и быстро выполнять криминалистический анализ сети. Эта NFAT (Cеть Forensic Analysis Tool) позволяет нам выполнять глубокую проверку и обработку сетевого трафика, он может работать с файлами PCAP, уже записанными ранее с помощью таких программ, как WireShark, или напрямую захватывать всю информацию из сетевого интерфейса, проводного или беспроводного. Сегодня в этой статье мы покажем вам все характеристики этой очень интересной программы, а также покажем, как она работает.

основные черты

Основные характеристики этой программы заключаются в том, что она позволит нам выполнять криминалистический анализ сети с захватами трафика PCAP, хотя у нас также будет возможность прослушивать весь трафик из проводных или Wi-Fi сетевая карта, однако, она совместима с WireShark, поскольку это наиболее широко используемый в мире анализатор протоколов. Другими важными особенностями являются то, что он позволяет извлекать пароли из захватов данных непосредственно в виде обычного текста, без необходимости детального изучения всего трафика, это полностью автоматически. Мы также можем построить карту сети, перестроить TCP-сеансы, мы можем извлечь хэши зашифрованных паролей и даже преобразовать их в формат Hashcat, чтобы позже попытаться взломать их с помощью этой программы, выполняя атаку грубой силы или автономный словарь.

грубая акула

Основная цель этой программы BruteShark - предоставить исчерпывающее решение для исследователей ИТ-безопасности, сетевых и системных администраторов для выявления потенциальных проблем, слабых мест, угроз в локальной сети и других недостатков безопасности, к которым может привести будущая атака. Эта программа доступна в двух явно разных версиях: у нас будет версия с графическим пользовательским интерфейсом для системы Windows, и у нас также будет версия командной строки (мы будем работать в терминале), совместимая с Windows и Linux операционные системы. Конечно, эту программу можно использовать для анализа сетевого трафика компьютеров Windows, Linux или macOS без каких-либо проблем.

Эта программа способна извлекать и расшифровывать имена пользователей и пароли из таких протоколов, как HTTP, FTP, Telnet, IMAP, SMTP и многих других, то есть всех протоколов, не имеющих сквозного шифрования, таких как HTTPS, FTPES, SSH и многие другие. Эта программа также способна извлекать хэши и преобразовывать их в форматы Kerberos, NTLM, CRAM-MD5, HTTP-Digest и многое другое, конечно, вы сможете создать визуальную сетевую диаграмму с пользователями и различными сетевыми устройствами, он также способен извлекать все DNS запросы, которые были сделаны (пока DoH или DoT не используются, которые зашифрованы), он также позволяет реконструировать сеансы TCP и UDP, вырезать файлы и даже извлекать вызовы VoIP, если используются протоколы SIP и RTP.

Когда мы узнаем все возможности этой программы, давайте подробно рассмотрим, как она работает.

Скачать и установить в Windows

Если вас интересует установка этой программы на Windows, вы можете скачать две версии:

Единственным предварительным условием является наличие установленного WinPcap или NPcap, мы должны помнить, что если у вас установлен WireShark, вы должны установить один из обоих драйверов. Вы также должны установить .NET Core Runtime, чтобы запустить его.

Если вы собираетесь установить эту программу в системах Linux, вам потребуется установить libpcap, после чего мы выполним следующие команды:

find /usr/lib/x86_64-linux-gnu -type f | grep libpcap | head -1 | xargs -i sudo ln -s {} /usr/lib/x86_64-linux-gnu/libpcap.so

wget https://github.com/odedshimon/BruteShark/releases/latest/download/BruteSharkCli

./BruteSharkCli

После установки мы приступаем к его выполнению, мы должны помнить, что у нас будет только графический пользовательский интерфейс в операционных системах Windows, в Linux нам придется выполнять команды с консоли.

Как работает BruteShark

Эта программа работает очень просто: первое, что нужно сделать, это загрузить файл PCAP для анализа, а затем проанализировать файл или файлы, которые мы загрузили. У нас также есть возможность создавать сеансы TCP и UDP и даже начинать с захвата сетевых данных. Если у вас нет захвата для анализа, вы можете использовать эту программу вместо использования WireShark, экспортировать захват в PCAP, а затем импортировать его в эту программу. Таким образом, мы можем сделать это намного проще с помощью одной программы.

В левой части программы мы можем видеть учетные данные пользователя, которые находятся в сетевом трафике, они покажут нам оба пароля в виде простого текста (если использовались протоколы без шифрования), а также покажут нам хеши. если мы действительно используем Kerberos, NTLM и другие протоколы, которые мы обсуждали ранее. В этом разделе мы также сможем увидеть схему сети, проведенные сеансы, запросы DNS и, наконец, мы найдем возможные файлы, которые он захватил, и вызовы VoIP, если они были сделаны.

Если мы хотим захватить сетевой трафик с любого из сетевых интерфейсов, абсолютно необходимо запустить BruteShark с правами администратора, иначе мы даже не получим проводные сетевые карты и сетевые карты WiFi, которые есть на нашем компьютере.

Мы также должны иметь в виду, что если мы собираемся использовать WireShark, мы должны экспортировать захваты в формате PCAP, а не PCAPNG, как это происходит по умолчанию, потому что мы получим следующую ошибку. У нас будет два варианта: либо использовать WireShark и сохранить как PCAP, либо использовать программу tshark через командную строку.

Когда мы открываем совместимый захват PCAP, мы должны нажать «Анализировать файлы», и он начнет анализировать захват, это может занять от нескольких секунд до нескольких часов, в зависимости от размера захвата, который имеет программа BruteShark. анализировать.

В нашем случае мы всегда использовали соединения DNS и HTTPS, поэтому он не собирал никаких паролей или хэшей паролей, не используя Kerberos или NTLM. Мы видим карту сети всех сделанных запросов.

Мы также можем видеть все сеансы, которые были сделаны с нашего компьютера, с их соответствующими IP-адресами источника и назначения, а также портом источника и портом назначения.

Наконец, мы можем увидеть все DNS-запросы, которые были сделаны во время сбора данных, например, наш веб-сайт, American Express, Interactive Brokers и многие другие, которые вы можете увидеть ниже:

Как вы видели, использование этой программы для извлечения учетных данных, запросов DNS, просмотра карты сети, сеансов и даже просмотра файлов или информации о вызовах VoIP очень просто в использовании, эта же информация может быть получена путем просмотра захвата данных WireShark, но это займет больше времени, если мы не будем использовать правильные фильтры, поэтому BruteShark значительно упрощает нам задачу.