More than 5 years have passed since last update.
Wiresharkを利用したMalware Traffic Analysis手順まとめ
マルウェア解析に関する勉強方法の1つとして、Malware Traffic Analysis.netというサイトを紹介してもらったので
こちらを題材に勉強してみようとおもいます。
Wiresharkを利用したマルウェア通信解析の手順をまとめ(随時更新)いこうとおもいます。
Youtubeや海外ブログの内容をもとに独学でまとめておりますので、他にもよいほうほうがありましたら是非おしえてください!
※当たり前ですが実際に検証を行う際は仮想環境上で外部通信しないよう確認の上行うようにしてください。
画面のカスタマイズ
デフォルト設定だと使いにくい部分があったので下記のようにカスタマイズしています。
・不要なカラムの削除
👁 image.png
・時刻表示形式の変更
👁 image.png
解析手順
プロトコル別のソート
統計>プロトコル階層統計 より下記の図が表示可能です。
注目のプロトコルを選択して、この画面からソートすることも可能です。
👁 image.png
ホスト名に注目した調査
http.requestなどでリクエストを精査し、気になる通信を発見した場合
通信先を新規に列に追加することで、よりパケットを見分けやすくなります。
👁 image.png
ポートを合わせて表示しておくとより見やすいかも。
👁 image.png
検体を取り出す
不審なパケットを選択し、ファイル>オブジェクトをエクスポートで検体を取り出す。
実際の検体を入手し、解析する。
👁 image.png
おわり
勉強しながら徐々に追加していきます!
Register as a new user and use Qiita more conveniently
- You get articles that match your needs
- You can efficiently read back useful information
- You can use dark theme
