DNSCat pcap analysis
WhiteIntel je pretraživač pokretan dark web-om koji nudi besplatne funkcionalnosti za proveru da li je kompanija ili njeni korisnici kompromitovani od strane malvera za krađu podataka.
Primarni cilj WhiteIntel-a je borba protiv preuzimanja naloga i napada ransomware-a koji proizilaze iz malvera za krađu informacija.
Možete posetiti njihovu veb stranicu i isprobati njihovu mašinu za besplatno na:
Ako imate pcap sa podacima koji se eksfiltriraju pomoću DNSCat-a (bez korišćenja enkripcije), možete pronaći eksfiltrirani sadržaj.
Samo trebate znati da prva 9 bajtova nisu stvarni podaci već su povezani sa C&C komunikacijom:
Za više informacija: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Postoji skripta koja radi sa Python3: https://github.com/josemlwdf/DNScat-Decoder
Last updated