這幾天更新的 開源封包分析程式 BruteShark

https://github.com/odedshimon/BruteShark
重點功能
1.提取未加密協議用戶名和密碼（HTTP，FTP，Telnet，IMAP，SMTP ...）
2.提取身份驗證哈希並使用Hashcat（Kerberos，NTLM，CRAM-MD5，HTTP-Digest ...）對其進行破解
3.建立可視化網絡圖（網絡節點和用戶）
4.重建所有TCP會話

安裝好後 如果沒有現成環境錄下封包, 這邊有封包樣本可以下載

https://wiki.wireshark.org/SampleCaptures
自己打開練習分析
可練習案例中的 SMB3.1 handshake 封包中
NTLMv2 抓到hash後送入hashcat爆破

如果有其他封包分析程式歡迎討論跟分享 (以前都用cain)

#OSSLab #封包分析

小編：抱歉，因內文理解錯誤，造成讀者困擾，敬請原諒，很感謝讀者的回應讓我學習。

#惡意函式庫 #Python

攻擊者偽造Python函式庫官方名稱來上傳10項惡意函式庫，暗中蒐集用戶名字與主機資訊

斯洛伐克安全局（NBU）安全人員日前發現，Python官方網站內提供的函式庫，由於攻擊者將惡意函式庫名字模仿成官方函式庫名稱，造成不明白開發人員下載到惡意函式庫，如acqusition、apidev-coop、bzip、crypt、django-server、pwd、setup-tools、 telnet、urlib3、urllib等10項。用戶一旦安裝這些函式庫，用戶名稱和使用裝置資訊會同時傳回至遠端伺服器 http://121.42.217.44:8080/。目前NBU已經把資訊傳給PyPI管理員，要求下架這些惡意函式庫。

https://pypi.python.org/pypi

Windows裝置小心! Mirai木馬程式來了

去年發動數十萬物聯網裝置大軍對資安部落格KrebsOnSecurity進行DDoS攻擊的木馬程式Mirai出現變種版本，資安業者指出該變種版本可感染Windows裝置，擴大了Mirai的威脅性。

文/林妍溱 | 2017-02-09發表

去年10月發動數十萬物聯網（IoT）裝置大軍的分散式阻斷服務（DDoS）攻擊，造成資安部落格KrebsOnSecurity停擺的Mirai木馬程式本來只鎖定Linux裝置，現在俄國資安業者Mr. Web發現Mirai已經演化出能感染Windows裝置的版本，擴大原始Mirai的感染範圍。

新發現的Mirai惡意程式變種名為Trojan.Mirai.1(原始Mirai為Linux.Mirai)，Trojan.Mirai.1可在感染Windows機器後，就會以此為據點對其他機器散佈。

首先它在受害裝置上建立與外部C&C伺服器的連線，下載組態檔並解析出IP網址列表。之後再針對組態檔中的網路節點進行掃瞄，並以密碼組合破解出正確密碼，並試圖登入。Trojan.Mirai.1也會同時掃瞄TCP連接埠，唯一例外的是以RDP協定連線時不會採取任何行動。

這隻木馬成功連上節點後，會執行指令序列開始動作。若受害機器是Windows平台，Trojan.Mirai.1即會在上面自我複製，並協助擴大感染。如果是透過Telnet協定連結Linux機器，它就會在機器上下載二進位檔案，該檔案之後即下載及啟動Linux.Mirai。

此外，若是感染Microsoft SQL及MySQL等資料庫，這隻木馬程式就會建立具有管理員權限的使用者帳號，便可能執行多種惡意任務，包括啟動執行檔、刪除檔案、植入自動啟動的圖示或在Windows registry建立相應log檔，研究人員相信可能為駭客開啟日後攻擊或竊密的大門。

這隻Mirai變種才剛出現，釀成的災害還有待評估，不過基於Mirai的經驗，大部份防毒產品也應已有防備。

資料來源：http://www.ithome.com.tw/news/111854