La détection des menaces réseau et l’analyse des anomalies restent des défis majeurs pour les équipes de Blue Teaming. Un manque de vigilance peut exposer les réseaux à des attaques sophistiquées.
Sans une expertise solide en interception de paquets, les équipes de défense risquent de passer à côté d’indices critiques, compromettant ainsi la sécurité.
Grâce à Wireshark, découvrez comment analyser efficacement le trafic réseau, identifier les menaces potentielles et renforcer vos stratégies de défense proactive.
Découvrir l'interception réseau Wireshark blue teaming
Introduction à réseau Wireshark blue teaming
Wireshark est un logiciel d’analyse de paquets informatiques utilisé pour le dépannage et l’analyse de réseaux informatiques. Il est également utilisé dans le développement de protocoles, l’éducation et la rétro-ingénierie. Wireshark prend en charge plus de 1500 protocoles et est doté d’interfaces GUI et CLI pour une utilisation conviviale et flexible.
Pour installer Wireshark, c’est très simple. Il suffit de se rendre sur le site officiel de Wireshark, comme vous pouvez le voir ci-dessus, et de télécharger la version qui vous correspond
Une fois notre outil installé, nous allons l’ouvrir et examiner son interface, comme illustré ci-dessous.
Dans notre interface, nous allons voir différentes cartes réseau disponibles, où je peux également visualiser toutes les cartes réseau en mode interface et le trafic qui y circule.
Si l’on clique sur le bouton cercle noir, nous disposons d’une interface où nous voyons en bas le filtre de capture. Nous pouvons choisir un protocole que nous souhaitons capturer.
De plus, nous pouvons également cliquer sur « Gérer les filtres de capture » pour voir les différents filtres et les expressions à saisir.
Nous allons donc lancer notre capture et commencer à récupérer les informations.
Nous pouvons accéder à un site, par exemple alphorm.com.
Après avoir arrêté notre capture, nous disposons de l’ensemble du trafic intercepté, comprenant des informations telles que le temps, la source, la destination, le protocole utilisé, ainsi que des informations complémentaires essentielles pour l’analyse de la sécurité blue teaming.
Dans le cadre d’une stratégie blue teaming, il est crucial de pouvoir interpréter ces données avec précision pour détecter et réagir aux menaces potentielles. Pour garantir une analyse précise, nous pouvons changer le format du temps en UTC. Pour ce faire, cliquez avec le bouton droit de la souris sur « Time » et sélectionnez l’option appropriée. Cela permet d’harmoniser les horodatages et d’assurer une corrélation correcte des événements de sécurité.
Nous pouvons changer le format du temps en UTC en cliquant avec le bouton droit de la souris sur Time
Puis en sélectionnant « Colonnes de préférences« , et dans la section « Temps« ,
Choisir le format « UTC Time« .
Nous pouvons par exemple choisir l’une des requêtes, peu importe laquelle.
Nous pouvons également accéder à une vue qui nous permet de voir de manière plus détaillée les différentes couches et leurs composants, tels que les ports de destination et source, ainsi qu’une vue hexadécimale.
Pour voir une vue beaucoup plus intéressante, il suffit de double-cliquer sur la requête, et vous verrez alors comme indiqué ci-dessus
Maintenant, nous allons créer un profil en allant en bas, en cliquant sur « Profile« , puis en cliquant sur « New« .
Nous allons nommer le profil « ALPHORM« .
Pour trouver le chemin de notre profil, nous cliquons sur « Aide » dans la barre de menu, puis sur « À propos de Wireshark« . Ensuite, nous cliquons sur « Dossier » et nous pouvons voir le chemin du profil.
Pour trouver le chemin de notre profil dans le cadre de l’analyse de sécurité du réseau Wireshark blue teaming, nous pouvons suivre ces étapes simples :
Tout d’abord, cliquez sur « Aide » dans la barre de menu de Wireshark. Ensuite, sélectionnez « À propos de Wireshark« .
Dans la fenêtre qui s’ouvre, vous verrez un bouton « Dossier » que vous pouvez cliquer. En cliquant dessus, le chemin de votre profil sera affiché
Pour changer la disposition, il suffit de cliquer sur « Éditer« , puis sur « Préférences« . Ensuite, dans la section « Disposition« , vous pouvez choisir la disposition nécessaire.
Nous avons la représentation sous forme d’un diagramme.
En haut, nous pouvons trouver un onglet d’affichage. Il suffit de choisir « Spécifique » comme HTTP, comme illustré ci-dessus.
Et nous disposons uniquement des données HTTP qui s’affichent comme vous pouvez le voir dans la figure suivante.
Supposons maintenant que nous souhaitons filtrer par une adresse IP source spécifique, par exemple 192.168.163.1. Nous pouvons utiliser le nom de champ « ip.addr==192.168.163.1« , et ensuite nous pourrons voir l’adresse IP source spécifiée.
La deuxième approche consiste à choisir le champ que je souhaite analyser dans le cadre de la sécurité du réseau Wireshark blue teaming. Par exemple, nous prenons un paquet, faisons un clic droit, appliquons comme filtre, puis cliquons sur « Sélectionner automatiquement ». Cela créera le filtre nécessaire pour isoler les données pertinentes, facilitant ainsi l’analyse et la détection des anomalies dans notre stratégie de blue teaming.
Après la création du filtre, nous avons une vue comme illustré ci-dessus.
Supposons maintenant que nous souhaitons créer un filtre à partir de l’historique dans le cadre de la sécurité du réseau Wireshark blue teaming. Si nous utilisons ce filtre fréquemment et que nous voulons le garder pour une réutilisation future, nous pouvons suivre ces étapes simples :
Nous pouvons aller dans la barre de recherche en haut pour créer un bouton pour la réutilisation. Nous lui donnons une étiquette et un commentaire relatifs à notre stratégie de blue teaming, puis cliquons sur OK. Cela nous permettra de réutiliser facilement ce filtre pour des analyses futures, optimisant ainsi notre processus de surveillance et de sécurisation du réseau.
Ici, nous pouvons remarquer un nouveau bouton nommé « Filtre complexe« ,
Que nous pouvons également modifier en faisant un clic droit.
On peut aussi utiliser Wireshark pour suivre une session spécifique. Par exemple, si je tape « tcp« , on peut voir les échanges qui font partie de la même session.
On peut venir ici et effectuer un clic droit, puis cliquer sur « Suivre« , et ensuite sur « Flux TCP« .
Là, nous avons en fait la conversation complète des paquets, et nous pouvons voir plusieurs données en plus.
Nous pouvons voir plusieurs types d’affichage des données tels que BRUT, UTF-8, YAML, et d’autres.
Si l’on veut voir toutes les statistiques relatives aux échanges qui ont été effectués, par exemple, on peut cliquer sur « Propriétés« .
Et je récupère toutes les informations sur le dernier.
On peut également voir les adresses résolues avec les adresses MAC.
On peut aussi voir la hiérarchie des protocoles utilisés dans l’échange.
On peut voir toutes les conversations entre différentes machines par adresse MAC, IPv4, IPv6, TCP et UDP.
Et aussi voir les Endpoints, c’est-à-dire l’ensemble des machines qui sont présentes au niveau de cette capture.
On a également un petit graphique de statistiques avec le nombre de paquets à travers le temps.
Et aussi d’un autre élément complémentaire qui nous permet de nous focaliser sur certains éléments suspects dans le réseau et d’autres informations.
Formation Techniques de Blue Teaming (1/2) : L'essentiel pour l'Analyste SOC
Découvrez les normes et standards du Blue Teaming et maîtrisez l’analyse de flux réseaux avec WireShark
Effectuer des analyses réseaux avec réseau Wireshark blue teaming
Analyse du protocole ARP dans wireshark
Le protocole de résolution d’adresses (ARP) est un protocole de communication utilisé pour la découverte de l’adresse de la couche de liaison, telle qu’une adresse MAC, associée à une adresse de couche Internet donnée, typiquement une adresse IPv4
Nous allons lancer une capture avec notre application.
En se dirigeant vers l’invite de commande CMD en tant qu’administrateur, un flash de l’ARP est effectué en tapant la commande arp -d.
Nous allons donc effectuer un filtre sur le protocole ARP et là nous pourrons voir des requêtes qui sont broadcastées.
On effectue également un filtre sur le protocole ICMP pour observer les requêtes et les réponses qui sont en cours d’exécution.
Analyse du protocole DHCP dans wireshark
Le protocole DHCP attribue automatiquement des adresses IP aux appareils sur un réseau via des échanges de messages entre client et serveur, simplifiant ainsi la gestion des adresses IP.
Dans cet exemple, le client DHCP envoie un message DHCPDISCOVER (1), reçoit un message DHCPOFFER (2) du serveur, envoie un message DHCPREQUEST (3) pour accepter l’adresse IP proposée, puis reçoit un message DHCPACK (4) du serveur, confirmant l’attribution de l’adresse IP.
Sur la capture suivante, nous pouvons voir différentes informations, y compris les requêtes nécessaires pour obtenir une adresse IP une fois que le serveur DHCP 192.168.0.1 répond avec une adresse IP assignée.
En bas de la structure du paquet, nous pouvons voir qu’il s’agit d’une réponse, avec certains paramètres tels que l’adresse IP du client, l’adresse IP du serveur, l’adresse MAC du client, ainsi que d’autres informations supplémentaires.
Analyse du protocole DNS
Le DNS traduit les noms de domaine en adresses IP pour permettre la communication sur Internet. Il associe des noms de domaine tels que « www.cisco.com » à des adresses IP comme « 192.133.219.25« , facilitant l’identification des serveurs et des ordinateurs.
Nous allons effectuer un filtrage pour le protocole DNS où en bas, nous pourrons voir un domaine name système ainsi que plus de précision et des requêtes.
Lorsque nous cliquons dessus, nous pouvons voir plusieurs informations, telles que le nom de domaine demandé (query), l’adresse IP à laquelle la réponse est destinée, et la réponse elle-même, généralement sous forme de réponse contenant l’adresse IP demandée.
Nous pouvons également lancer une capture en temps réel, puis ouvrir l’invite de commande pour exécuter une commande nslookup
On commence par filtrer le protocole DNS.
Nous pouvons rechercher un domaine précis, par exemple alphorm.com.
Nous observons la requête DNS de alphorm.com et la réponse qu’elle reçoit.
Si l’on applique un filtre supplémentaire très intéressant, il recherchera le terme « alphorm » dans l’intégralité de la trame, en ajoutant « && frame contains « alphorm« » à la requête DNS.
Analyse du protocole HTTP avec Wireshark
Le protocole HTTP facilite le transfert de divers fichiers sur le Web, incluant du texte, des images et des vidéos. Il est implicitement utilisé lorsque les utilisateurs ouvrent un navigateur Web. Pour plus d’informations, consultez cet article détaillé.
Nous allons donc lancer une petite capture est dirigeant vers Google pour visiter un site tel que alphorm.com et naviguer.
Nous allons ici filtrer par HTTP pour voir toutes les requêtes effectuées en HTTP qui peuvent être récupérées.
Pour faire cela, il suffit d’aller sur « Fichier« , comme vous pouvez le voir ci-dessus, puis de sélectionner « Exporter les objets » et de choisir HTTP.
Ici, vous trouverez tous les objets exportés tels que des images, des certificats, du texte, et vous pouvez également enregistrer l’un de ces objets.
Nous pouvons également effectuer une analyse rapide de notre requête en cliquant avec le bouton droit, puis en suivant le flux HTTP.
Et là, nous avons les différents échanges où nous pouvons voir plusieurs interactions également.
Envie d’élargir vos compétences en cybersécurité ? Découvrez toutes nos formations de Blue teaming et trouvez celle qui vous convient le mieux : Parcours Blue Teaming
Analyse du protocole FTP avec Wireshark
File Transfer Protocol (FTP) est un protocole standard pour la transmission de fichiers entre ordinateurs sur Internet par le biais de connexions TCP/IP est généralement utiliser le port 21.
Au niveau de la capture suivante, on peut clairement voir qu’on effectue un filtre sur FTP pour observer les différentes informations qui circulent dans le cadre de l’analyse de sécurité du réseau Wireshark blue teaming.
Il est important de noter que des protocoles tels que Telnet et FTP sont considérés comme mal sécurisés, ce qui signifie que des données peuvent être récupérées facilement à travers ces protocoles. En tant qu’équipe blue teaming, notre rôle est d’identifier ces vulnérabilités et de recommander des alternatives plus sécurisées, comme SFTP ou SSH, pour protéger les informations sensibles et renforcer la sécurité du réseau.
Ici, nous pouvons voir les différentes requêtes qui peuvent être échangées. Pour les examiner en détail, nous effectuons un clic droit et sélectionnons « Suivre« , puis « Flux TCP« .
Et on peut observer les différents échanges, y compris la bannière, la requête de l’utilisateur, le mot de passe qui suit l’enregistrement, ainsi que d’autres commandes liées au FTP. De plus, on va tenter de récupérer cette image à partir des données FTP.
Maintenant, nous allons nous concentrer sur cette partie des données FTP (FTP data).
Nous allons alors filtrer dessus en cliquant sur « Appliquer comme filtre« , puis en sélectionnant « ftp-data« . Ensuite, il suffit de faire un clic droit et de choisir « Suivre« , puis « Flux TCP« .
On peut voir l’empreinte de l’image au format JPEG.
Nous allons cliquer sur « Brut » pour récupérer l’image en brut, puis nous allons l’enregistrer sur le bureau.
Alors, nous ouvrons notre image comme vous pouvez le voir ci-dessus.
Extraire un exécutable malicieux d’une capture réseaux
Analyse à distance d'un exécutable malicieux avec réseau Wireshark blue teaming
Au niveau de votre analyse, vous rencontrerez plusieurs binaires qui ont été échangés lors du travail du TCP. Effectivement, c’est le cas lorsqu’un attaquant exploite une vulnérabilité et envoie leur charge malicieuse à travers le réseau après avoir exploité la vulnérabilité.
Pour trouver cette charge malicieuse, c’est très simple, il suffit de faire un clic droit puis de suivre le flux TCP.
Généralement, lorsque l’on suit un flux TCP, on voit cette interface qui affiche les données en brut. Maintenant, on va choisir « Enregistrer sous » et enregistrer les données sur notre disque.
Maintenant, on peut se diriger vers VirusTotal pour voir si ce fichier binaire est malicieux ou pas, et le faire analyser.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui. Découvrez des cours variés pour tous les niveaux !
Conclusion
Maîtriser l’utilisation de Wireshark pour le réseau Wireshark blue teaming est indispensable pour toute équipe de sécurité informatique. En appliquant les techniques et les filtres présentés dans cet article, vous pourrez non seulement surveiller et analyser le trafic réseau de manière efficace, mais aussi identifier et neutraliser rapidement les menaces.
Le blue teaming avec Wireshark vous offre les outils nécessaires pour renforcer la sécurité de votre réseau et garantir une protection continue contre les cyberattaques.