在前面的一些文章中，用了很多的章節(jié)介紹流量分析和捕獲工具wireshark。Wireshark是一款通用的網(wǎng)絡(luò)協(xié)議分析工具，非常強(qiáng)大，關(guān)于wireshark的更多介紹，請關(guān)注專欄，wireshark從入門到精通。本文將介紹一個(gè)專注于網(wǎng)絡(luò)流量取證的工具NetworkMiner，其視角和wireshark是不同的。

NetworkMiner 簡介

NetworkMiner是一款C#編寫的開源網(wǎng)絡(luò)流量取證工具，官方網(wǎng)站，這里，源碼這里，包含免費(fèi)和付費(fèi)兩個(gè)版本。其主要目標(biāo)是在從網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的視角從網(wǎng)絡(luò)流量中提取有價(jià)值的信息，對相關(guān)的artifact的提取，包括文件提取，圖片提取、主機(jī)識別，憑據(jù)提取，參數(shù)提取等，主要體現(xiàn)出攻防過程中重要的網(wǎng)絡(luò)元素，目前多用于應(yīng)急運(yùn)營和響應(yīng)人員的流量分析。免費(fèi)版NetworkMiner主要包含如下的功能：

圖1
付費(fèi)版的NetworkMiner多出了如下功能：

圖2
付費(fèi)版的功能主要是向威脅情報(bào)領(lǐng)域更多信息的關(guān)聯(lián)，同時(shí)提供更為精準(zhǔn)的識別能力以及批量化處理能力。

NetworkMiner VS Wireshark

關(guān)于這兩款工具最主要的區(qū)別如下：
1，NetworkMiner注重從網(wǎng)絡(luò)流量中提取關(guān)鍵信息和文件，而Wireshark更注重于詳細(xì)的協(xié)議分析。
NetworkMiner主要用取證，提取流量數(shù)據(jù)包中的關(guān)鍵信息，通常稱之為artifact，例如主機(jī)識別、文件提取，圖片提取，參數(shù)提取，憑據(jù)提取等。Wireshark用來捕獲和分析網(wǎng)絡(luò)流量的每個(gè)數(shù)據(jù)包，提供詳細(xì)的協(xié)議信息、源/目標(biāo)地址、端口等，支持網(wǎng)絡(luò)協(xié)議眾多，提供了強(qiáng)大的過濾功能。關(guān)于wireshark的更多介紹，請關(guān)注專欄，wireshark從入門到精通。
2，NetworkMiner主要用于調(diào)查取證，Wireshark適用于各種網(wǎng)絡(luò)分析和故障排除場景。
NetworkMiner的主要用途是幫助網(wǎng)絡(luò)安全運(yùn)營人員，安全應(yīng)急響應(yīng)人員，安全取證人員進(jìn)行網(wǎng)絡(luò)取證，通過分析網(wǎng)絡(luò)流量來發(fā)現(xiàn)潛在的威脅、檢測惡意文件等。而Wireshark通常用于網(wǎng)絡(luò)協(xié)議分析、網(wǎng)絡(luò)故障排除、網(wǎng)絡(luò)安全審計(jì)等方面。它是一種通用的網(wǎng)絡(luò)分析工具，適用于多種場景。

NetworkMiner使用舉例

下面將對NetworkMiner的主要功能通過具體的數(shù)據(jù)包做一下介紹。

協(xié)議分析

NetworkMiner出發(fā)點(diǎn)是網(wǎng)絡(luò)取證，因此針對的協(xié)議多是網(wǎng)絡(luò)攻防過程中高頻出現(xiàn)的協(xié)議，如下是其支持的協(xié)議種類：

DHCP,DNS,FTP,HTTP,IRC,IEC 60870-5-104,IMAP,Kerberos v5,Modbus TCP,NetBios Name Service,NetBios Datagram Service,NetBios Session Service,OpenFlow,Oscar,Oscar File Transfer,POP3,RTP,SMB,SMB2,SMTP,SNMP,Socks,SSH,SSL,Syslog,Tabular Data Stream,TFTP,TPKT,UPnP,SIP,Spotify Server Protocol,VXLAN

NetworkMiner雖然沒有wireshark支持豐富，但是上述這些協(xié)議都是在傳統(tǒng)的IT環(huán)境中和網(wǎng)絡(luò)攻擊密切相關(guān)的協(xié)議，因此在安全領(lǐng)域非常的重要，對于網(wǎng)絡(luò)安全研究人員，網(wǎng)絡(luò)安全運(yùn)營人員，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)人員想要詳細(xì)了解上述協(xié)議，請關(guān)注我的專欄《網(wǎng)絡(luò)攻防協(xié)議實(shí)戰(zhàn)分析
》，見這里。

文件內(nèi)容提取

NetworkMiner最重要的功能是提取流量中的artifact，其中文件是最為重要的artifact。目前NetworkMiner支持從如下的協(xié)議中提取文件：

FTP, TFTP, HTTP, HTTP/2, SMB, SMB2, SMTP, POP3, IMAP ,LPR 

而wirehark目前只支持HTTP，TFTP，SMB，F(xiàn)TP等的文件提取，當(dāng)然wireshark支持?jǐn)U展的lua插件提取文件，需要自己編寫程序?qū)崿F(xiàn)，詳見這里。
除此之外NetworkMiner還支持從加密的協(xié)議中提取證書文件，支持的協(xié)議如下：

 HTTPS, SMTPS, IMAPS, POP3S, FTPS 

整體來說提供的文件提取協(xié)議種類比wireshark豐富，同時(shí)側(cè)重于攻擊常見的文件傳輸行為，如圖3所示：

圖3
圖3是一次實(shí)時(shí)捕獲數(shù)據(jù)包的示例，可以看到提取的文件類型包括圖片png和JPG，文本json文件、證書文件等，涉及http和TLS兩種協(xié)議。

主機(jī)信息識別

NetworkMiner從主機(jī)的視角出發(fā)，針對主機(jī)層面的各種信息進(jìn)行了聚合，例如主機(jī)的操作系統(tǒng)，主機(jī)名稱，主機(jī)的服務(wù)器banner，ja3等信息，講這些信息作為網(wǎng)絡(luò)安全調(diào)查分析過程中重要的artifacts，NetworkMiner都將其聚合在主機(jī)目錄之下，這有助于用戶跟蹤和分析網(wǎng)絡(luò)活動(dòng)，如下圖4：

圖4
圖4識別出主機(jī)是一個(gè)android系統(tǒng)，并能根據(jù)DHCP的供應(yīng)商夠定位出手機(jī)的品牌，這些信息在取證的時(shí)候是存在一定價(jià)值的，wireshark是默認(rèn)誒呦這方面能力的。

圖5
圖5 識別出主機(jī)是一個(gè)Windows系統(tǒng)，并提供了網(wǎng)卡品牌，主機(jī)名稱，瀏覽器UA的名稱，JA3等諸多信息。如果主機(jī)是一個(gè)linux主機(jī)，則還有能提供Linux上服務(wù)器的banner信息的。

那么networkminer是如何識別主機(jī)的操作系統(tǒng)信息，網(wǎng)卡信息，以及判定ja3等信息是否存在問題的，在NetworkMiner的安裝目錄的Fingerprints目錄中存在tcp.xmld，dhcp.xml，etter.finger.os以及p0f相關(guān)的文件,查看這些文件發(fā)現(xiàn)都是操作系統(tǒng)指紋信息映射表，因此其基本原理也是根據(jù)TCP，SMB，DHCP流量中的指紋信息進(jìn)行比對。
網(wǎng)卡名稱的映射關(guān)系主要在oui.txt，根據(jù)MAC地址的前24位能夠識別出對應(yīng)的廠商。
NetworkMiner集成了abuse.ch中的ja3和ja3s的指紋信息來判斷TLS鏈接是否是已知的威脅，詳見ja3_fingerprints.csv，sslblacklist.csv等文件。值得注意的是，要想跟蹤最新的威脅，需要到abuse的官網(wǎng)去更新最新的ja3s等內(nèi)容。同時(shí)付費(fèi)版本也提供了跟多擴(kuò)展情報(bào)的能力，關(guān)于有哪些威脅情報(bào)可以使用，將會(huì)在專欄進(jìn)行介紹《安全運(yùn)營之網(wǎng)絡(luò)攻擊研判分析》，這里。

由于上述的配置文件都是明文進(jìn)行存儲(chǔ)，因此給用戶一定的靈活度，可以添加用戶自定義的指紋信息，來滿足調(diào)查取證過程中的需求。

用戶憑據(jù)識別

用戶的憑據(jù)包括常見的用戶名和密碼，例如HTTP協(xié)議，F(xiàn)TP協(xié)議，POP3，SMTP協(xié)議都會(huì)傳輸用戶名和密碼，用戶名是一項(xiàng)非常重要的信息，因?yàn)橥ㄟ^用戶名可以知道是哪個(gè)用戶的流量。想要知道哪些協(xié)議會(huì)在流量中傳輸用戶明和密碼，詳見弱密碼分析，這里。但是有的協(xié)議只傳輸用戶名，例如SMB，RDP，MySQL，PGSQL，詳見爆破流量分析，詳見這里。關(guān)于用戶憑據(jù)的提取示例如下圖6，7，8：

圖6
圖6中提取了FTP協(xié)議的用戶名和密碼，HTTP協(xié)議的auth字段以及cookie字段，由于密碼是敏感信息，因此我這里隱藏了密碼。

圖7
圖7中提取了POP3，RDP，SQL的用戶名等信息。

圖8
圖8提取了IMAP，IRC，kerberos的用戶名信息。
在實(shí)際的應(yīng)急響應(yīng)和取證過程中，用戶名能夠提供非常有用的線索。

關(guān)鍵字搜索

NetworkMiner是基于取證場景出發(fā)的，因此提供強(qiáng)大的關(guān)鍵字搜索功能，這點(diǎn)比wireshark做的要好，用戶可以通過自定義自己的關(guān)鍵字，來將匹配的數(shù)據(jù)包顯示出來，如下圖9：

圖9
圖9可以看出通過導(dǎo)入admin,anonymous等關(guān)鍵字的字典能夠?qū)⑵ヅ涞臄?shù)據(jù)包序號和payload進(jìn)行顯示，有利于快速的分析。

參數(shù)分析

從DFIR的角度來看，比較關(guān)注網(wǎng)絡(luò)數(shù)據(jù)中的aritfacts，NetworkMiner認(rèn)為，網(wǎng)絡(luò)中各種參數(shù)的參數(shù)信息也是一種artifact，因此對這些元素進(jìn)行了單獨(dú)的提取，方便分析之用，如下圖10，11：

圖10

圖11
可以看到圖10中在參數(shù)分析欄中通過搜索server 關(guān)鍵字，可以快速的獲取所有通信的服務(wù)器的server類型，圖11通過搜索native os，可以知道通信的操作系統(tǒng)類型，這些功能在分期取證的過程中中非常的實(shí)用。當(dāng)然，如果你想要了解為何能夠在網(wǎng)絡(luò)中提取到這些數(shù)據(jù)，詳見專欄《網(wǎng)絡(luò)攻防協(xié)議實(shí)戰(zhàn)分析》，那里會(huì)有更為詳盡的介紹。

DNS分析功能

從取證角度看DNS的展示應(yīng)該如下圖所示:

圖12
可以看到該工具將DNS所有的記錄按行顯示，非常利于分析，同時(shí)通過關(guān)鍵字的功能還很容易過濾需要的域名。除此之外該工具對alex top 100萬的域名進(jìn)行了碰撞，用來輔助分析師的判斷。只是該功能是付費(fèi)功能，付費(fèi)的功能還包括和DNS等危險(xiǎn)情報(bào)碰撞，見上圖2。由于該工具開源，也可以通過修改源碼，導(dǎo)入alex前100萬域名以及威脅情報(bào)判斷即可。當(dāng)然域名的分析屬于威脅情報(bào)的范疇，僅僅判斷其rank還是不夠的，關(guān)于域名等IOC更多分析，詳見這里。

在線和離線分析

工具支持實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)流量，也可以對已捕獲的PCAP文件進(jìn)行離線分析。不僅如此該工具還支持從命名管道中讀取數(shù)據(jù)，為用戶提供更靈活的使用方式，這點(diǎn)不在贅述。

總結(jié)

總結(jié)該工具，該工具的主要特點(diǎn)是從安全分析取證視角出發(fā)，將網(wǎng)絡(luò)流量中各種利于分析的artifacts提取單獨(dú)顯示，并關(guān)聯(lián)相關(guān)的情報(bào)數(shù)據(jù)，幫助調(diào)查人員分析網(wǎng)絡(luò)通信，發(fā)現(xiàn)潛在的威脅、異常通信、檢測惡意文件，為取證調(diào)查提供有力支持，非常的有價(jià)值。當(dāng)然其威脅情報(bào)是付費(fèi)的，后續(xù)將會(huì)介紹如何將威脅情報(bào)的能力集成到wireshark中，方便分析師的分析，請關(guān)注專欄安全運(yùn)營之網(wǎng)絡(luò)攻擊研判分析。文章來源地址http://www.zghlxwxcb.cn/news/detail-779506.html

到了這里，關(guān)于網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工具之-流量安全取證NetworkMiner的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！