آنالیز ترافیک بد‌افزار با استفاده از Wireshark

2
1353
آنالیز ترافیک بد‌افزار با استفاده از Wireshark

در این راهنما می‌خوانیم که چگونه می‌توانیم با استفاده از Wireshark ترافیک بد‌افزار را آنالیز و بدافزار را شناسایی کنیم.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

همچنین بخوانید: چگونه با استفاده از TCPView نرم‌افزار مشکوک و ناخواسته در کامپیوتر یا لپ‌تاپمان را شناسایی کنیم؟

در قدم صفر، یعنی پیش از شروع به کار، نرم‌افزار Wireshark را روی دستگاه خودتان نصب کنید. سپس مراحل زیر را دنبال کنید:

قدم ۱: نرم‌افزار را اجرا و اینترفیس مورد نظرتان را انتخاب کنید. اینترفیس یعنی شبکه‌ای که می‌خواهید بسته‌های آن را بررسی کنید.

قدم ۲: اکنون تعداد زیادی بسته می‌بینید که کپچر شده‌اند. اکنون خروجی را مرتب می‌کنیم و ستون‌های درگاه مبدا و مقصد و غیره را اضافه می‌کنیم. بدین منظور نشانگر ماوس را روی ستون‌ها نگاه دارید و راست کلیک، سپس Column Preferences را انتخاب کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

قدم ۳: سپس روی گزینه Edit Column کلیک کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

قدم ۴: سپس روی علامت + کلیک کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

اکنون دو ستون Source port و Destination port را اضافه و نوع آنها را src port ( resolved) و Dest port (resolved ) انتخاب کنید. آنها را به ترتیب در زیر Source IP و Destination IP قرار دهید.همچنین می‌توانید بسادگی هر گزینه‌ای که نمی‌خواهید را حذف کنید، کافیست تیک آنها را بردارید. تصویر زیر گویای توضیحات است:

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

فرمت Time را از طریق مسیر View -> Time Display Format -> Date and Time of Day تغییر دهید، مانند تصویر زیر:

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

اکنون اگر به پنل نگاه کنیم می‌توانیم URL درخواستی را مشاهده کنیم، اما نمی‌توانیم هاستی که آن را تولید کرده است را بررسی کنیم. برای افزودن آن ستون، می‌توان روش مرحله ۳ را دنبال کرد و یا از طریق پنل Detail می‌توانیم آن را اضافه کنیم.

قدم ۵: روی هر بسته دلخواه در پنل Summary کلیک کنید، سپس روی هر پکتی در پنل جزئیات که host را مشخص می‌کند، راست کلیک و گزینه Apply as a column را انتخاب کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark
اسم ستون را HOST انتخاب کنید

بعد از این مرحله ستونی به نام HOST مشاهده خواهید کرد. اکنون می‌خواهیم درخواست‌هایی که از طریق HTTP ارسال شده‌اند را ببینیم، برای اینکار باید نتایج را فیلتر کنیم.

قدم ۶: در نوار ابزار فیلتر http را نوشته و اینتر را بزنید، یا مسیرtatistics -> Protocol Hierarchy -> Hypertext Transfer Protocol را دنبال و روی آن کلیک راست کنید و گزینه Apply as Filter -> Selected را انتخاب کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark
اعمال فیلتر http

اکنون می‌توانیم تمام ترافیک‌های http را آنالیز کنیم، اما نیاز داریم آبجکت‌ها و فایل‌های منتقل شده را بررسی کنیم.

قدم ۷: مسیر File -> Export Objects -> HTTP را دنبال کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark
خروجی گرفتن از تمام آبجکت‌های بر پایه http

قدم ۸: آبجکتی که می‌خواهید را مانند تصویر زیر دانلود کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark
آیجکت را در دسکتاپ ذخیره کرده‌ایم

اکنون فایل را در اختیار داریم، می‌توانیم آن را با آنتی‌بدافزاری که روی سیستم خودمان نصب است بررسی کنیم و یا از سرویس‌هایی مانند Virustotal.com استفاده کنیم.

قدم ۹: فایل را در سرویس Virustotal.com آپلود کنید. این سرویس فایل را آنالیز خواهد کرد. اگر فایل مخرب باشد، نتیجه‌ای مانند عکس زیر را مشاهده خواهید کرد:

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

برای اطلاعات بیشتر درباره این بدافزار روی تب behavior کلیک کنید.

به نرم‌افزار وایرشارک برگردید، پیش‌تر ستون HOST را اضافه کرده بودیم. اکنون همان بسته را انتخاب کنید، مشاهده خواهید کرد که چه هاستی آن را ایجاد کرده است.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

همانطور که می‌بینید کاری روی درگاه ۸۰ انجام شده که همان فایل است. در این حالت مقصد یک کامپیوتر مخرب است و منبع دامنه‌ای است که فایل از آن دانلود شده است.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

آخرین چیزی که درباره دستگاه آلوده باید پیدا کنیم آدرس MAC آن است بنابراین باید به پنل جزئیات نگاه دقیق‌تری کنیم. روی

آخرین چیزی که درباره دستگاه آلوده باید پیدا کنیم آدرس MAC آن است بنابراین باید به پنل جزئیات نگاه دقیق‌تری کنیم. روی

آخرین چیزی که درباره دستگاه آلوده باید پیدا کنیم آدرس MAC آن است بنابراین باید به پنل جزئیات نگاه دقیق‌تری کنیم. روی Ethernet II کلیک کنید تا SRC: and Dst: را پیدا کنید.

آنالیز ترافیک بد‌افزار با استفاده از Wireshark

DST: آدرس MAC کامپیوتر آلوده را نشان می‌دهد.

منبع: https://malware.news/t/a-basic-guide-to-malware-traffic-analysis-through-wireshark/34600

مقاله قبلیمعرفی سرویس کاناری‌توکنز – Canarytokens
مقاله بعدی۵ راه شناسایی فایل آلوده

2 نظر

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.