Jeden z procesów w moim systemie wysyła od czasu do czasu jakieś pakiety do dziwnie brzmiących domen. W wiresharku pakiety te są oznaczone jako TLSv1.2. Czy możliwe jest podejrzenie co znajduje się w środku? Próbuję znaleźć jakiś tutorial w tym temacie, niestety większość opiera się na pobraniu kluczy z przeglądarki i podaniu ich wiresharkowi. Co jednak w przypadku procesów niepowiązanych z przeglądarką? Ma ktoś może doświadczenia w tym temacie?
Jeśli dany proces nie ma na sztywno podanego klucza publicznego dla danej domeny, to da się. Musisz odpalić MitM Proxy i wtedy możesz przechwycić cały ruch (tylko musisz dodać nowy root certificate, by móc "oszukać" proces, że dalej jest poprawny certyfikat).
Generalnie nie za bardzo, bo idea TLS jest dokładnie taka, zeby się nie dało tak zrobić :) Możesz próbować MITMować proces i podmienić certyfikat jak wspomniał @hauleth albo spróbować debugować ten proces i zobaczyć co tam w nim siedzi.
Możesz też zaczarować, postawić sobie prosty skrypt który słucha na 443, ustawić w /etc/hosts te dziwne domeny na localhost i zobaczyć co ten proces ci wyśle (patrz https://airman604.medium.com/simple-tls-listener-4e1cca7856b8 )
Sprawdziłbym też co to za domeny, bo moze są legitne? Z drugiej strony malware często stosuje tzw domain-generation-algorithm
, więc wylicza sobie domenę na podstawie czasu, a same domeny żyja bardzo krótko.