DNSCat pcap analysis
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihren Motor kostenlos ausprobieren unter:
Wenn Sie einen pcap haben, bei dem Daten durch DNSCat exfiltriert werden (ohne Verschlüsselung), können Sie den exfiltrierten Inhalt finden.
Sie müssen nur wissen, dass die ersten 9 Bytes keine echten Daten sind, sondern mit der C&C-Kommunikation zusammenhängen:
Für weitere Informationen: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Es gibt ein Skript, das mit Python3 funktioniert: https://github.com/josemlwdf/DNScat-Decoder
Last updated