DNSCat pcap analysis
WhiteIntel é um mecanismo de busca alimentado pela dark web que oferece funcionalidades gratuitas para verificar se uma empresa ou seus clientes foram comprometidos por malwares ladrões.
O principal objetivo do WhiteIntel é combater tomadas de conta e ataques de ransomware resultantes de malwares que roubam informações.
Você pode verificar o site deles e experimentar o mecanismo de busca deles de forma gratuita em:
Se você tiver um pcap com dados sendo exfiltrados pelo DNSCat (sem usar criptografia), você pode encontrar o conteúdo exfiltrado.
Você só precisa saber que os primeiros 9 bytes não são dados reais, mas estão relacionados com a comunicação C&C:
Para mais informações: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Existe um script que funciona com Python3: https://github.com/josemlwdf/DNScat-Decoder
Last updated