Quería probar la seguridad de mi teléfono Android, así que lo dejé por un día ejecutando tcpdump en segundo plano.
Luego envío el pcap resultante a virustotal.com. Están escaneando el archivo pcap usando snort y suricata.
En el informe tengo alerta paraET MOBILE MALWARE Google Android Device HTTP Request
¿Cómo puedo obtener más información sobre los paquetes que activaron la alerta? Estoy interesado principalmente en IP remota, pero el contenido también será útil: estoy tratando de identificar qué aplicación activó la alerta, etc.
Tengo una máquina Linux para analizar más el archivo pero no sé por dónde empezar. Supongo que si lo ejecuto suricata -r my.pcap.me dará el mismo resultado y nada más. ¿Cómo obtener más detalles?
Respuesta1
En primer lugar, no deberías haber enviado un PCAP de los datos de tu teléfono a un tercero si estás realmente preocupado por la seguridad. Existen muchas herramientas que le permitirán realizar este tipo de análisis usted mismo.
A continuación, esto debería ser bastante fácil de analizar.
Configure un filtro en NetMon, Wireshark, cualquier herramienta que necesite y filtre según el protocolo HTTP... esto lo llevará solo al tipo de tráfico relevante. Eche un vistazo a las IP de origen y destino y debería encontrarlas bastante rápido.
Otra buena herramienta para probar eshttp://www.cs.bham.ac.uk/~tpc/PCAP/
El desarrollador de esta herramienta es muy respetado (¡opinión, lo sé!) en su campo y después de haber usado esta herramienta mientras analizaba los flujos de datos de mis máquinas, sé que no replica sus datos en absoluto.