DNSCat pcap analysis
Якщо у вас є pcap з даними, які ексфільтруються за допомогою DNSCat (без використання шифрування), ви можете знайти ексфільтрований вміст.
Вам потрібно лише знати, що перші 9 байтів не є реальними даними, але пов'язані з комунікацією C&C:
Для отримання додаткової інформації: https://github.com/jrmdev/ctf-writeups/tree/master/bsidessf-2017/dnscap https://github.com/iagox86/dnscat2/blob/master/doc/protocol.md
Є скрипт, який працює з Python3: https://github.com/josemlwdf/DNScat-Decoder
Last updated