Esta nueva serie de entradas que iniciamos estarán en un apartado para el blog, con algunos tips, opciones ocultas que conozco o ire descubriendo ya sea en la parte de mi día a día. Como lo dice el titulo Wireshark, nos brinda la opción de exportar objetos HTTP, SMB, TFTP y DICOM, desde una captura realizada, la razón de ello fue que hace un par de semanas atrás me facilitarón un fichero para analizarlo y mi primera opción fue Network Miner para no ir usando los filtros de wireshark (un poco vago estuve esos días) y tratar de hacerlo más rápido, 3 días despues me acorde que pude hacerlo con Wireshark y evidentemente hacerlo con un par de clicks.

Este sitio lo tenia fichado desde hace un par de dias atras, el cual es **malware-traffic-analysis ** en el cual nos brinda el material necesario para comprender y practicar principalmente. Contamos con entradas sumamente didacticas en las cuales nos inmersa el autor a interpretar el sniffeo de red que se hace a un malware en el ambito global del nombre, nos brinda entradas desde el 2013 hasta la fecha a lo cual pueden acceder a continuación.

Mode S-Specific Protocol Application Avionics ya les suena en algo el protocolo mode-s con este plugin nos permite realizar el sniffeo de dicho protocolo, quizás en algún momento sea necesario hacer uso de ello, o quizás no pero nunca esta demás contar con ello. El proceso de instalación y configuración se encuentra en GITHUB en el repositorio respectivo cabe resaltar que se encuentra en versión ALPHA y aun es necesario mejorar y colaborar encontrando bugs o bien reportando y colaborando.

Hace un momento gracias a @Securityartwork descubrí la función Statistics si señores recien la descubri y fue gracia a este tuit de los señores. Gracias Dios del Wireshark por haber creado el menu Statistics. pic.twitter.com/pX2Nx30Csm — Security Art Work (@Securityartwork) enero 28, 2015 Asi que en ese trajin dije wtf! no lo se porque nunca me puse a revisar y observar mas a fondo aclarando que la herramienta la uso en cada prueba que me toca realizar en el trabajo y notar el potencial así de manera superficial, me dieron ganitas de seguir metiendo mano pero lo dejare para luego que por ahora ando a full con presentaciones tanto del trabajo como de escuelait, en ese cambio de tuits me pasaron el siguiente enlace indicando la biblia del Wireshark en Español !

Navegando e indagando por la red me encontre este repositorio un listado de retos por decirlo referente a pcaps disponibles en la red, los cuales podemos usarlos para practicar y realizar el analisis respectivo con nuestro visor preferido, en mi caso siempre uso Wireshark, por su factibilidad de uso. Ya estaremos haciendo uso de estos archivos con State_X en los próximos días….. Capture the Flag Competitions (CTF) PCAP files from capture-the-flag (CTF) competitions and challenges.

Esta vez viene al blog un repositorio de *.pcap los cuales son capturas de red realizadas, tras la ejecución de un bichito malicioso en este caso se encarga Mila Parkour que es la escritorio del blog Contagio como tambien del contagio Malware que lo vimos en la anterior entrega de Conociendo sobre Malware donde tenemos ambos sitios, para poder obtener muestras de malware, con la pequeña observación que debemos de mandar un mensaje a su correo para poder obtener acceso a los archivos.

Ahora venimos con un TIP que es poco conocido, el uso de Wireshark como un agente de sniffeo remoto, es decir el poder escuchar a partir de otra tarjeta de red en un equipo, seria pivotear!!! ;) ya lo veremos mas a fondo a continuación. Primero logramos compromete una pc, pero no podemos ver lo que anda en el trafico circulando quizás podemos identificar algunos credenciales que navegan en texto claro por la red para ello lo que hacemos es tras la explotación poder visualizar el resto, tal vez alguno se le ocurra la instalación de wireshark y por escritorio remoto, poder visualizar :P pero naaaa eso nos puede delatar, entonces ahí viene el tiburón con su opción de sniffeo remoto.