Installere og bruke Fireshark
Har du noen gang ønsket å henvise nettleseren din til et kjent eller mistenkt malware-infisert nettsted for å fange opp og analysere hvordan det fungerer? Og gjør dette uten å betale for eller skrive en løsning? En ny open source Firefox-utvidelse gjør dette nå mulig.
Hva er Fireshark?
Fireshark består av en Firefox-utvidelse og et sett med skript. Skriptene, skrevet i Perl, hjelper til med å analysere Firesharks utdatafiler.
Å kjøre utvidelsen lager et sett med filer som inneholder alt du vil vite om en målside. Filene inkluderer:
- HTML-kilde
- Bilder
- Skript som kjørte da en side åpnet
- Analyse av hva en side gjorde i testboksen
Det er enkelt å installere Fireshark, når du først har jobbet gjennom et par snags. Det eneste problemet jeg har med dette produktet er mangelen på dokumentasjon. Dokumentasjon ble lovet i april, men den fremdeles ikke dukket opp. Så installasjonsproblemene mine krevde et Google-søk og noe surfing av forumet.
Jeg startet med å lage et testmiljø. Fordi jeg ville at Fireshark skulle se alle de dårlige tingene og oppleve all smerten som ble oppstått av målsidene, brukte jeg Oracle's VirtualBox for å lage en Unbuntu Linux virtual machine (VM). VM var klar over all anti-malware programvare. Jeg konfigurerte også OpenDNS-innstillingene mine slik at DNS-filtrering ikke ville hindre tilgang til målsidene.
For rekorden kjører Fireshark også i Windows. Jeg testet det også ved bruk av Windows 7 som kjører i en VMware VM.
Det var enkelt å installere Fireshark-utvidelsen. Jeg åpnet Firefox, navigerte til Fireshark.org og klikket på nedlastingslenken. En tilbakestilling av Firefox var påkrevd.
Jeg var nesten klar. Det siste trinnet var å gi Fireshark en liste over målsider. Jeg opprettet en liste over potensielt skadelige nettsteder, vist i figur 1, i en tekstfil (data.txt). På min Linux VM plasserte jeg filen i brukerhjemskatalogen, / home / tolzak . (I Windows 7 måtte jeg plassere filen i \ brukere \ Tom Olzak .) Jeg brukte den samme listen over filer for både Linux- og Windows-testene. Hvis du ikke plasserer data.txt-filene i din hjemmekatalog, kan Fileshark ikke finne dem.
Figur 1: Data.txt fra Windows 7 Test Klikk for å forstørre.
Kjører Fireshark
Jeg var nå klar. Jeg kjørte Fireshark ved å laste inn Firefox og klikke på Go! i Verktøy-menyen (se figur 2 ). Alt jeg måtte gjøre da var å sitte og se på Firefox åpne hvert nettsted som er oppført i data.txt. Én advarsel ... Hvis du vil se på alle sidene på et nettsted, kan det hende du må angi alle nettadressene til siden. Jeg kunne ikke finne noen måte å få Fireshark til å bore ned på et målsted.
Figur 2: Starte Fireshark Når listen over målfiler var oppbrukt, ventet en lang liste med utdatafiler på meg i min hjemmekatalog. Se figur 3 . Filene med navn som begynner med "dom" inneholder HTML for hver målside. De som begynner med "src" inneholder skript som prøvde å eller kjørte da siden ble åpnet. Filen "rapportlog.yml" er en grensesnittfil. Hensikten er å gi dette til utviklere for bruk i andre analyseprogrammer. "Img" -filene inneholder bilder av målsidene. 
Figur 3: Fireshark Output i Linux Til slutt sporer "reportlog.txt" aktiviteter under sidetilgang. Figur 4 viser et utvalg av innholdet. Figur 5 viser rapportlog.yml-innhold. For å analysere outputloggen gir Fireshark.org tre Perl-skript. Skriptene lastes ned separat fra utvidelsen, og de krever YAML. 
Figur 4: Rapportlog.txt-innhold Klikk for å forstørre.
Figur 5: Reportlog.yml-innhold Klikk for å forstørre.
Det siste ordetDette virker som et flott produkt for alle som ønsker å analysere en bestemt side eller å fylle ut en honeypot fra et sett med kjente ondsinnede nettsteder. Fireshark er ikke beregnet på alle som bare vil "leke" med et kult analyseverktøy i sitt primære system. Du vet, den rene ment for sensitive hverdagslige oppgaver.
Før du bruker Fireshark, må du slå av all beskyttelse for testplattformen eller VM, inkludert alle sikkerhetsfunksjonene i Firefox. Flere ganger i løpet av den første testkjøringen blokkerte Firefox popup-vinduer og andre aktiviteter det så ut som usikre. Dette beseirer formålet med å kjøre dette verktøyet.
Endelig skulle jeg ønske at produktet ga meg litt mer kontroll over hvor jeg kan plassere utdatafilene.
