akde/infosec

Information security is ultimately about managing risk


See also the Wire­shark post

PSnuffle

Metas­ploit mod­ule; analyse the live traf­fic for cre­den­tials of var­i­ous protocols.

msf > use auxiliary/sniffer/psnuffle

PCredz

PCredz uses a PCAP file and extracts hash­es and oth­er credentials.

pcredz -f dump.pcap

Zeek

GitHub — zeek/zeek: Zeek is a pow­er­ful net­work analy­sis frame­work that is much dif­fer­ent from the typ­i­cal IDS you may know.

  1. Pcap in pcaps-Verze­ich­nis legen.
  2. Zeek in Dock­er starten
  3. Analyse in logs nehmen und in LLM leg­en und analysieren lassen.

Dock­er-Com­pose:

# cat ../compose.yml
services:
  zeek:
    image: blacktop/zeek:latest
    container_name: zeek
    restart: "no"

    volumes:
      - ./pcaps:/pcaps
      - ./logs:/logs

    entrypoint: /bin/sh
    command:
      - -c
      - |
        cd /logs
        zeek -C -r /pcaps/capture.pcapng LogAscii::use_json=T

Guter Prompt:

Du bist ein Security Analyst.

Analysiere die folgenden Zeek-Logs aus einem PCAP/PCAPNG auf mögliche Sicherheitsprobleme.

Achte besonders auf:

- ungewöhnliche Verbindungen

- Portscans

- viele fehlgeschlagene Verbindungen

- DNS-Auffälligkeiten

- HTTP-Klartext

- verdächtige User Agents

- TLS/SNI-Auffälligkeiten

- interne Hosts mit ungewöhnlichem Verhalten

- Hinweise auf Malware, C2, Exfiltration oder Reconnaissance

Gib eine strukturierte Analyse aus mit:

1. Kurzfazit

2. Auffälligkeiten

3. Betroffene Hosts

4. Schweregrad

5. Begründung

6. Nächste Untersuchungsschritte

Zeek-Logs:

{{ $json.chatInput }}

Zed

Arkime

Leave a Reply

About

Personal collection of some infosec stuff. Primary purpose of this site is to collect and organize for myself.

Note: Some content is not publicly visible due to copyright issues. Therefore, some links could be broken.

Checklists

Categories

Checklists: Ports

python -c 'import pty;pty.spawn("/bin/bash")';

python3 -c 'import pty;pty.spawn("/bin/bash")';