PSnuffle
Metasploit module; analyse the live traffic for credentials of various protocols.
msf > use auxiliary/sniffer/psnuffle
PCredz
PCredz uses a PCAP file and extracts hashes and other credentials.
pcredz -f dump.pcap
Zeek
- Pcap in pcaps-Verzeichnis legen.
- Zeek in Docker starten
- Analyse in logs nehmen und in LLM legen und analysieren lassen.
Docker-Compose:
# cat ../compose.yml
services:
zeek:
image: blacktop/zeek:latest
container_name: zeek
restart: "no"
volumes:
- ./pcaps:/pcaps
- ./logs:/logs
entrypoint: /bin/sh
command:
- -c
- |
cd /logs
zeek -C -r /pcaps/capture.pcapng LogAscii::use_json=T
Guter Prompt:
Du bist ein Security Analyst.
Analysiere die folgenden Zeek-Logs aus einem PCAP/PCAPNG auf mögliche Sicherheitsprobleme.
Achte besonders auf:
- ungewöhnliche Verbindungen
- Portscans
- viele fehlgeschlagene Verbindungen
- DNS-Auffälligkeiten
- HTTP-Klartext
- verdächtige User Agents
- TLS/SNI-Auffälligkeiten
- interne Hosts mit ungewöhnlichem Verhalten
- Hinweise auf Malware, C2, Exfiltration oder Reconnaissance
Gib eine strukturierte Analyse aus mit:
1. Kurzfazit
2. Auffälligkeiten
3. Betroffene Hosts
4. Schweregrad
5. Begründung
6. Nächste Untersuchungsschritte
Zeek-Logs:
{{ $json.chatInput }}
Leave a Reply
You must be logged in to post a comment.