DNSCat pcap analysis
WhiteIntel es un motor de búsqueda alimentado por la dark web que ofrece funcionalidades gratuitas para verificar si una empresa o sus clientes han sido comprometidos por malwares de robo.
El objetivo principal de WhiteIntel es combatir los secuestros de cuentas y los ataques de ransomware resultantes de malwares que roban información.
Puedes visitar su sitio web y probar su motor de forma gratuita en:
Si tienes un pcap con datos siendo exfiltrados por DNSCat (sin usar cifrado), puedes encontrar el contenido exfiltrado.
Solo necesitas saber que los primeros 9 bytes no son datos reales, sino que están relacionados con la comunicación C&C:
Para más información: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Hay un script que funciona con Python3: https://github.com/josemlwdf/DNScat-Decoder
Última actualización