マルウェア解析に関する勉強方法の1つとして、Malware Traffic Analysis.netというサイトを紹介してもらったので
こちらを題材に勉強してみようとおもいます。
Wiresharkを利用したマルウェア通信解析の手順をまとめ(随時更新)いこうとおもいます。
Youtubeや海外ブログの内容をもとに独学でまとめておりますので、他にもよいほうほうがありましたら是非おしえてください!
※当たり前ですが実際に検証を行う際は仮想環境上で外部通信しないよう確認の上行うようにしてください。
#画面のカスタマイズ
デフォルト設定だと使いにくい部分があったので下記のようにカスタマイズしています。
・不要なカラムの削除
・時刻表示形式の変更
#解析手順
##プロトコル別のソート
統計>プロトコル階層統計 より下記の図が表示可能です。
注目のプロトコルを選択して、この画面からソートすることも可能です。
##ホスト名に注目した調査
http.requestなどでリクエストを精査し、気になる通信を発見した場合
通信先を新規に列に追加することで、よりパケットを見分けやすくなります。
ポートを合わせて表示しておくとより見やすいかも。
##検体を取り出す
不審なパケットを選択し、ファイル>オブジェクトをエクスポートで検体を取り出す。
実際の検体を入手し、解析する。
#おわり
勉強しながら徐々に追加していきます!