NetworkMiner 2.0 – Sieciowe Analityczne Narzędzie Śledcze (Network Forensic Analysis Tool – NFAT)
NetworkMiner to Sieciowe Analityczne Narzędzie Śledcze (Network Forensic Analysis Tool – NFAT) dla systemu Windows (działające również w systemach Linux / Mac OS X / FreeBSD). Program ten może zostać wykorzystany jako pasywny sieciowy sniffer lub narzędzie do przechwytywania pakietów w celu wykrycia informacji na temat systemów operacyjnych, sesji, nazw hostów, otwartych portów itp., bez konieczności generowania ruchu danych w sieci. NetworkMiner może również przetwarzać (parsować) pliki PCAP do późniejszej analizy w trybie offline oraz odtwarzać i ponownie łączyć w całość przesłane pliki i certyfikaty, wykorzystując do tego celu pliki PCAP.
NetworkMiner gromadzi dane (takie jak dowody popełnienia przestępstwa) na temat hostów w sieci, nie skupiając się na informacjach dotyczących samego transportu danych. Główny widok interfejsu użytkownika jest skoncentrowany na hostach (informacje grupowane są wokół nich), a nie na pakietach (informacje pokazywane jako lista pakietów lub ramek).
Od chwili wydania programu w roku 2007 NetworkMiner stał się bardzo popularnym narzędziem zespołów reagowania na incydenty komputerowe, jak i organów ścigania. W chwili obecnej jest on wykorzystywany przez przedsiębiorstwa i organizacje na całym świecie.
NetworkMiner może wyciągnąć pliki i certyfikaty przesłane za pomocą internetu poprzez przetwarzanie (parsowanie) pliku PCAP lub bezpośrednio śledząc ruch w sieci. Taką funkcjonalność programu można wykorzystać do wyodrębnienia i zapisania plików multimedialnych (jak pliki audio lub wideo), które przesyłane są w sieci z serwisów typu YouTube. Protokoły, z których możliwe jest wydobycie plików, to: FTP, TFTP, HTTP, SMB i SMTP.
Informacje uwierzytelniające użytkowników (nazwy i hasła), dla wspieranych przez program protokołów, są pozyskiwane i wyświetlane w zakładce „Uprawnienia” (ang. Credentials). Czasami bywają to dane, które można wykorzystać do identyfikacji konkretnej osoby, np. konta użytkowników w popularnych serwisach internetowych typu Google czy Facebook.
Inną bardzo przydatną cechą programu jest możliwość przeszukiwania obserwowanych lub zgromadzonych danych pod kątem słów kluczowych. NetworkMiner umożliwia swojemu użytkownikowi wprowadzenie arbitralnego ciągu znaków lub wzorców bitowych, które mają zostać przeszukane z wykorzystaniem funkcjonalności „poszukiwania słów kluczowych”.
NetworkMiner Professional dostarczany jest na specjalnie zaprojektowanym nośniku USB. Ponieważ istnieje w wersji przenośnej, nie ma potrzeby instalowania go na komputerze – może zostać uruchomiony bezpośrednio z nośnika USB. Jednakże firma Netresec zaleca instalację programu na lokalnym dysku twardym w celu osiągnięcia maksymalnej jego wydajności.
Bieżąca wersja zawiera kilka długo oczekiwanych właściwości, m.in.:
- parser SMB/CIFS obecnie wspiera pozyskiwanie plików z operacji zapisu SMB,
- dodano parser dla protokołu SMB2 (zapis i odczyt),
- zaimplementowano dodatkowe komendy IEC-104,
- dodano parser Modbus/TCP (zgodnie z prośbą uczestników 4SICS 2014),
- poprawiono parser SMTP,
- poprawiono parser FTP,
- poprawiono parser DNS,
- mocno zredukowano migotanie interfejsu użytkownika (GUI) podczas ładowania plików PCAP lub śledzenia na żywo,
- wydobywanie obrazów zawartych w ikonach „Ulubione” serwerów Web (wyświetlanych w zakładce Hosts),
- dodano „filtr słów kluczowych” (Keyword filter) w niektórych zakładkach (więcej szczegółów poniżej).