Ya hemos hablado en varias ocasiones de la forma que tenemos de extraer ficheros de datos Binarios / Objetos HTTP a partir de una captura de tráfico de red, e incluso la forma de extraer fichero de impresión en red. Lo repasaremos en este artículo y añadiremos una nueva forma implementada en los últimas versiones de Wireshark.
Veremos también una herramienta distinta para la extracción de ficheros desde un archivo de captura de tráfico de red: tcpxtract.
Recordando la extracción de Objetos HTML y extracción de binarios con Wireshark.
Como repaso, recordad que a tavés de Wireshark, podemos capturar y extraer diversos tipos de datos, por ejemplo:
- Interceptar tráfico de red correspondiente a impresión de hosts a través de un servidor de impresión. De esta forma podemos extraer archivos .pdf / ps, etc. En su momento usamos el filtro tcp.dstport == 9100 para ver las comunicaciones del servidor de impresión hacia una determinada impresora, realizábamos un Follow TCP Stream, salvábamos el resultado en un fichero con extensión .ps,etc, lo vimos aquí: Wireshark / Tshark. Capturando impresiones en red.
- Vimos como extraer binarios con Wireshark usando también Follow TCP Stream y Export Selected Packet Bytes. También usando File > Export > Objects > HTTP. Lo vimos aquí: Wireshark. Extracción ficheros binarios y Objetos HTTP.
Capturando objetos / ficheros SMB a través de Wireshark.
Como os he apuntado al principio, con Wireshark, existe otra forma de extracción de objetos / ficheros, en este caso objetos SMB.
Gracias a Tadding Security Blog, disponemos ya de una nueva opción. La captura de objetos / ficheros SMB. Esta opción nos permite capturar y visualizar los archivos involucrados en transacciones SMB. De momento está solo disponible para sistemas Windows.
SMB (Server Message Block), es, muy básicamente, un protocolo que permite compartir archivos, impresoras, puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre Host / IP. Mucha más información sobre SMB / CIFS y NETBIOS.
Esta nueva opción la tenemos gracias a un plugin desarrollado por Tadding Security Blog: http://blog.taddong.com/2010/05/capturing-smb-files-with-wireshark.html. Para disponer de esta opción tan solo instalar o actualizar a la última versión disponible para Wireshark.
Cómo funciona.
Si realizamos una captura de red, en la que tengamos tráfico SMB, una vez terminada solo tenemos que ir a File > Export > Object > SMB… y obtendremos una ventana con una lista de objetos o ficheros recopilados con su ubicación, tamaño, etc. Podemos abrir los ficheros directamente o guardarlos:
Tcpxtrac. Extrayendo ficheros del tráfico de red.
En este caso hablamos de una herramienta para linux (http://tcpxtract.sourceforge.net/ ). Instalamos el programa y listo para empezar.
Podemos extraer ficheros a través de una captura normal mediante una determinada interfaz de red (-d) ó a través de un fichero .pcap (-f).
La forma de identificación de los ficheros es a través de huellas o firmas. Tcpxtrack identifica hasta 26 formatos de archivos conocidos. con lo que nos puede servir como herramietna de análisis forense.
La sintáxis: tcpxtract [OPTIONS] [[-d ] [-f ]]
Su uso es muy sencillo. En el caso de una captura a través de la interfaz de red, por ejemplo eth0:
En este caso, ha capturado, extraído y exportado ficheros .jpg, .tf, .pdf y .doc
Para el caso de extraer a partir de un fichero .pcap:
Solo encontró un fichero .bmp
Como véis todo muy sencillo con esta herramienta.
Dónde exportar los ficheros extraídos.
Con la opción -o podemos indicar a tcpxtrack la carpeta donde serán exportados los archivos.
Capacidad de identificación de formatos de ficheros.
Tcpxtract es capaz, incluso, de extraer ficheros ejecutables .exe, .zip, .avi, etc, etc.
En el fichero de configuración tcpxtract.conf, tenemos algunas firmas para la identificación de los distintos formatos. algunos ejemplos:
# MPEG Video
mpg(4000000, \x00\x00\x01\xba, \x00\x00\x01\xb9);
mpg(4000000, \x00\x00\x01\xb3, \x00\x00\x01\xb7);
# Word documents
doc(12500000, \xd0\xcf\x11\xe0\xa1\xb1);
#———————————————————————
# ADOBE PDF
#———————————————————————
pdf(5000000, \x25PDF, \x25EOF\x0d);
#———————————————————————
# HTML
#———————————————————————
html(50000, \x3chtml, \x3c\x2fhtml\x3e);
# wav will be captured as avi.
# Real Audio Files
ra(1000000, \x2e\x72\x61\xfd);
ra(1000000, \x2eRMF);
Con lo que es posible ir añadiendo otros.
————–
Y hasta aquí por hoy… hasta la próxima.
Seguridad y Redes 
Pingback: Assniffer. Extracción de tipos MIME / objetos HTTP desde ficheros captura tráfico red. | Seguridad y Redes
Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes
Pingback: Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload. | Seguridad y Redes