Crossing the Line - Unit 42 Wireshark Quiz for RedLine Stealer

Unit 42 Wireshark Quiz for RedLine Stealer

学习记录

查看主机名

HTTP流

首先查看HTTP

发现没什么东西

其他TCP

利用命令tcp.flags eq 0x002 and !(tcp.port eq 443) and !(tcp.port eq 80) and !(ip.dst == 10.7.10.0/24)查看目的地址非局域网的SYN包

发现C2服务器要求受害者主句提供各种类型的用户信息

还有一些其他的KEY

受害者主机传输png图片

将数据下载，查看图片为

还传输了进程信息，主机配置，以及一些登录凭证

知识

参考

Crossing the Line: Unit 42 Wireshark Quiz for RedLine Stealer