네트워크 덤프(dump) 파일 분석 툴 - Bruteshark 사용법

Bruteshark

BruteShark는 네트워크 트래픽(주로 PCAP 파일이지만 네트워크 인터페이스에서 직접 라이브 캡처할 수도 있음)에 대한 심층 처리 및 검사를 수행하는 NFAT(네트워크 포렌식 분석 도구)입니다.

 

여기에는 비밀번호 추출, 네트워크 맵 구축, TCP 세션 재구성, 암호화된 비밀번호 해시 추출, 오프라인 무차별 대입 공격을 수행하기 위해 해시캣 형식으로 변환하는 작업이 포함됩니다.

 

GUI 기반 응용 프로그램(Windows) 및 명령줄 인터페이스 도구(Windows 및 Linux)의 두 가지 BruteShark 버전을 사용할 수 있습니다.

 

BruteShark는 주로 PCAP 파일로 구성된 네트워크 트래픽에 대한 심층 처리 및 검사를 수행할 수는 NFAT(Network Forensic Analysis Tool)로 작동합니다.

사용자 이름과 암호(HTTP, FTP, Telnet, IMAP, SMTP 등) 및 인증 해시 추출을 추출 및 인코딩한 다음 오프라인 무차별 대입 공격을 수행할 수 있도록 Hashcat 형식으로 변환할 수 있습니다.

 

또한 시각적 네트워크 다이어그램(네트워크 노드 및 사용자)을 구축하고, 파일을 조각하고, 모든 TCP/UDP 세션을 재구성할 수 있습니다.

[출처] : https://github.com/odedshimon/BruteShark

 

 

 

 

Bruteshark 설치 방법

• 설치 파일 다운로드
  https://github.com/odedshimon/BruteShark 

1. Download 클릭

2. BruteSharkDesktop Windows Installer (64bit) 다운로드

 

3. 다운로드 후 일반 소프트웨어 설치하듯이 설치 진행하면 됩니다.

---

• 설치 후 실행/동작하지 않을 때 (Windows 10기준)

설치 후 정상적으로 동작하지 않는 상황이 발생 할 수 있습니다.

이런 경우 다음과 같이 닷넷 추가 설치 바랍니다.

- Windows 에러 이벤트
: .Net framework 관련 에러 이벤트 확인 가능

- 닷넷 다운로드 및 설치

https://dotnet.microsoft.com/download/dotnet-core/thank-you/sdk-3.1.401-windows-x64-installer

- 설치 후 정상 동작 확인

 

 

Bruteshark 사용법 - pcap 사용

1. +버튼을 클릭하여 pcap 파일을 import 한다.
2. Modules 부분에서 사용 할 모듈을 클릭한 후 Analyze Files 를 클릭 한다.
3. 분석이 완료되면 하단 화면에 import한 pcap 파일에 대한 분석 결과가 나온다.

• Credentials
  패킷 내부의 username // password 의 결과 및 hash

 

• Network
  - Network Map : 분석된 pcap 파일들의 상관 분석 결과가 Map 형태로 표현
  - Session : 세션 정보를 테이블 형태로 추출
  - DNS : Dns query / Response 정보 등 표현

 

• Data
  - Files : 분석된 pcap에서 전송된 파일(pdf,jpg등) 정보 추출
  * Build TCP Sessions, Build UDP Sessions 기능이 켜져 있어야 작동함

• Voip Calls : SIP, RTP 프로토콜의 Voip call 정보를 추출

 

 

Bruteshark 사용법 - Live capture 사용

1. 캡쳐 할 모듈 선택
2. 네트워크 인터페이스 선택
3. Start Capture 클릭

Start Capture를 누르면 화면 하단에  'Live capture is ON' 이 표시가 표기되면서 실시간 캡쳐를 시작합니다.

실시간 분석이 이루어지며, 좌측 분석 카테고리(Network, DNS...)에 분석되는 결과가 실시간으로 반영되는 것을 볼 수 있습니다.