Добрый день, друзья.

Сегодня мы рассмотрим утилиту Captipper , которая служит для анализа http траффика. При запуске утилита запускает псевдо-web сервер который ведет себя как сервер из pcap файла и на стороне клиента можно просматривать запросы, которые были осуществлены. Также в утилиту включен целый арсенал инструментов, которые служат для анализа и определения вредоносного http трафика.

Для проведения тестов мы будем использовать уязвимость CVE-2015-5119, а эксплоит есть в metasploit framework. После успешной атаки будет открыта meterpeter сессия, а вся коммуникация между клиентом и сервером будет проходить посредством протокола http. На стороне клиента был запущен wireshark, после заражения машины жертвы работа wireshark была остановлена и сохраненный pcap файл пошел на анализ Captipper-а.

Примечание: Перед запуском утилиты, убедитесь, что порт 80 tcp не прослушивается другой программой.

Итак, в качестве передаваемого аргумента утилита требует путь до pcap файла. После запуска утилита запускает собственную командную строку и web сервер. Все показано на следующем скрине:

1

Строки, пронумерованные от 0 до 6 — это осуществленные запросы. Цифра — это уникальный ID запроса. За ним следует URL, по которому обращались, а следующим указан ответ сервера, название и размер файла.

Для просмотра списка доступных команд введите команду help:

2

Из предыдущего скрина видно, что утилита обладает широким набором команд. Начинаем их анализ.

По первому скрину явно видно, что было несколько разных запросов. Для того, чтобы увидеть подробно какие объекты были запрошены введем команду objects:

3

Из этого списка нам понадобятся столбцы ID и NAME, также в этот список могу входить созданные при анализе объекты. Из показанного списка очевидно, что запросы шли на несколько html страниц и swf файл.

Для того, чтобы определить на какой хост шли запросы, достаточно ввести команду hosts:

4

На предыдущем скрине мы детально видим последовательность запросов , а также какой объект был запрошен с какого хоста. Например, swf файл запрашивался с хоста 10.10.115.173 порт 8000.

Для того, чтобы просмотреть содержание объекта можно воспользоваться командой body. По умолчанию, команда показывает первые 256 байтов файла. В качестве второго аргумента команде можно передать количество байтов для отображения. Например:

5

Если вы хотите просмотреть код в более разборчивом виде можно использовать команду jsbeautiy:

6

В этом примере мы применили jsbeautiy на объекте под номером 2 и в результате получили новый объект под номером 6, улучшив его читаемость.

Просматрвиая исходники html файла можно заметить подключенный swf файл, который у нас хранится под номером 3. Для того, чтобы просмотреть информацию об этом объекте используйте команду info, если вы хотите найти какое-то строковое значение в объекте можете использововать команду strings, есть возможность загрузки в hex редактор через команду hexdump.

Еще можно проверить файл на virustotal.com используя команду vt, но для этого вам понадобится API key, который можно получить лишь сделав регистрацию на virustotal.

Давайте проверим наш swf файл на virustotal, для этого команде vt нужно передать ID объекта.

7

Как видим, анализ на virustotal показал, что файл вредоносный.

Данный тест был создан для того, чтобы показать функционал утилиты. Подводя итоги можно сказать, что если у вас есть pcap файл, то данная утилита очень поможет при определении вредоносности http трафика.