มีวิธีการที่น่าเชื่อถือในการค้นหาการดำเนินการบรรทัดคำสั่งใน Wireshark หรือไม่?

สมมติว่าฉันต้องการตรวจสอบส่วน Packet Bytes และค้นหาการประมวลผลคำสั่งเชลล์ขาเข้า - โดยเฉพาะdirคำสั่ง "" บนเครื่อง Windows จาก CLI ของผู้โจมตีระยะไกลฉันจะสมมติว่ามันมีลักษณะดังนี้:

C:\Windows\System32>dir

สมมติว่าฉันเลือกวิธีหนึ่งในการทำเช่นนี้คือค้นหา " >dir" ในเนื้อหา ฉันได้ตรวจสอบตัวอย่างไฟล์ pcap ใน Wireshark และสังเกตเห็นว่าการรับส่งข้อมูลที่เข้ามาแทบไม่ปรากฏต่อสายตามนุษย์เหมือนอย่างนี้ ฉันกลับเห็นว่า:

.......P .|/u~+..
..P...G. ..dir..
Volume i n drive
C has no  label..
. Volume  Serial

สิ่งนี้จะทำให้วิธีการของฉัน ... ไม่มี>อักขระ "" นำหน้าdirคำสั่ง "" หากไม่มีข้อ จำกัด ในการค้นหานี้ฉันมีความเสี่ยงที่จะได้รับผลบวกปลอมทุกประเภทเช่น:

C:\MyDocuments\Indirect... C:\MyDocuments\MyDirtyPix... (ต้องมีอารมณ์ขันที่นี่;)

นี่เป็นปัญหาที่ฉันสามารถเอาชนะได้หรือไม่? ข้อเสนอแนะใด ๆ

wireshark sniffing

— แดเนียล
แหล่งที่มา

ไม่ใช่ข้อเสนอแนะ แต่เป็นการสังเกต ข้อความC:\Windows\System32>ไม่ถูกพิมพ์โดยผู้ใช้มันเป็นพรอมต์ที่ปล่อยออกมาจากcmdเปลือก พรอมต์เริ่มต้นจะเกิดขึ้น$P$Gและ$Gเป็นสาเหตุ>ที่จะแสดง สามารถเปลี่ยนแปลงพรอมต์ลองprompt=.ตัวอย่าง ดูที่พรอมต์สำหรับข้อมูลเพิ่มเติม

— DavidPostill

คะแนนที่ยอดเยี่ยมเดวิด ... ขอบคุณ อนุญาตให้ฉันคิดออกมาดัง ๆ ที่นี่ - ดังนั้นจากนั้นฉันคิดว่าในสถานการณ์แบบย้อนกลับเชลล์มันเป็นเครื่องจักรของเหยื่อที่ส่งสตริงพรอมต์ดังนั้นสิ่งนี้จะพบได้ในแพ็กเก็ตขาออกเท่านั้น เพียงเพราะโฮสต์ C2 ที่ผู้โจมตีส่งคำสั่งแสดงพรอมต์นั่นไม่ได้หมายความว่าทั้งพรอมต์และคำสั่งจะอยู่ในแพ็คเก็ตขาเข้าเดียวกัน ... คุณจะเห็นคำสั่งเท่านั้น แก้ไข?

— Daniel

นั่นฟังดูแล้วสำหรับฉัน;)

— DavidPostill

CLI แบบไหนที่คุณใช้ซึ่งคุณสามารถดูสิ่งต่าง ๆ ใน wireshark ได้? นี่คือ psexec, telnet หรืออะไร ทุกคนไม่ได้ใช้แชนเนลที่เข้ารหัสสำหรับการเข้าถึงระยะไกลทุกประเภทใช่หรือไม่

— Zoredache

ควรใช่ และฉันรู้ว่าการเข้ารหัสหรือการทำให้ยุ่งเหยิงบางรูปแบบจะมีส่วนร่วมมากขึ้นถึงแม้ว่าผู้บุกรุกจะพยายามซ่อนทราฟฟิกของตนโดยการส่งผ่านพอร์ตทั่วไป (อนุญาตให้ http / https เชื่อถือได้มากขึ้น) และไม่มีการเข้ารหัสใด ๆ ในกรณีที่ใช้ SSL / TLS ในบางกรณี บริษัท อาจใช้ประโยชน์จากการถอดรหัส MITM สำหรับการตรวจสอบแพ็คเก็ตลึก ทั้งหมดนี้เป็นสิ่งสำคัญ แต่ก็ไม่มีสิ่งใดสำคัญถ้าฉันไม่เข้าใจรายละเอียดปลีกย่อยของสิ่งที่เกิดขึ้น (หรือค่อนข้างจะเกิดสิ่งต่าง ๆ ) ที่ชั้นบนสุด - จำเป็นต้องรู้ว่าจะมองหาอะไร

— Daniel

ไม่มีการค้นหาอย่างง่ายที่คุณสามารถใช้ใน Wire Shark เพื่อค้นหาคำสั่งเฉพาะเช่นนั้น เหตุผลก็คือผู้ใช้สามารถแทรกลำดับของไบต์ที่สอดคล้องกับคำสั่งโดยไม่ต้องส่งทั้งหมดพร้อมกัน ยกตัวอย่างเช่นdi^Hirที่^Hเป็น Backspace จะได้รับการตีความว่าเป็นdirเหมือนอย่างdr←iที่←เป็นลูกศรซ้ายลำดับหนี พวกเขาสามารถทำให้มันซับซ้อนยิ่งขึ้น แต่ประเด็นก็คือ - คุณไม่มีวิธีง่ายๆในการค้นหาตัวละครง่าย ๆ สามตัวตามลำดับ วิธีการที่ถูกต้อง แต่มีความซับซ้อนอาจจะรวมถึงการเชื่อมโยงเข้าสู่การเรียกของระบบเพื่อดูว่าโฟลเดอร์ / ไดรฟ์ / etc ใดถูกเข้าถึงและอื่น ๆ

— phyrfox
แหล่งที่มา