DNSCat pcap analysis
Se você tiver um pcap com dados sendo exfiltrados pelo DNSCat (sem usar criptografia), você pode encontrar o conteúdo exfiltrado.
Você só precisa saber que os primeiros 9 bytes não são dados reais, mas estão relacionados à comunicação C&C:
Para mais informações: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Há um script que funciona com Python3: https://github.com/josemlwdf/DNScat-Decoder
Last updated