DNSCat pcap analysis
WhiteIntel to wyszukiwarka zasilana przez dark web, która oferuje darmowe funkcjonalności do sprawdzania, czy firma lub jej klienci zostali skompromitowani przez złośliwe oprogramowanie kradnące informacje.
Ich głównym celem WhiteIntel jest zwalczanie przejęć kont i ataków ransomware wynikających z oprogramowania kradnącego informacje.
Możesz odwiedzić ich stronę internetową i wypróbować ich silnik za darmo pod adresem:
Jeśli masz plik pcap z danymi eksfiltrującymi się za pomocą DNSCat (bez użycia szyfrowania), możesz znaleźć eksfiltrowane treści.
Wystarczy wiedzieć, że pierwsze 9 bajtów nie są prawdziwymi danymi, ale są związane z komunikacją C&C:
Dla więcej informacji: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Istnieje skrypt działający z Pythonem 3: https://github.com/josemlwdf/DNScat-Decoder
Last updated