Jeden z procesów w moim systemie wysyła od czasu do czasu jakieś pakiety do dziwnie brzmiących domen. W wiresharku pakiety te są oznaczone jako TLSv1.2. Czy możliwe jest podejrzenie co znajduje się w środku? Próbuję znaleźć jakiś tutorial w tym temacie, niestety większość opiera się na pobraniu kluczy z przeglądarki i podaniu ich wiresharkowi. Co jednak w przypadku procesów niepowiązanych z przeglądarką? Ma ktoś może doświadczenia w tym temacie?
0
2
Jeśli dany proces nie ma na sztywno podanego klucza publicznego dla danej domeny, to da się. Musisz odpalić MitM Proxy i wtedy możesz przechwycić cały ruch (tylko musisz dodać nowy root certificate, by móc "oszukać" proces, że dalej jest poprawny certyfikat).
1
Generalnie nie za bardzo, bo idea TLS jest dokładnie taka, zeby się nie dało tak zrobić :) Możesz próbować MITMować proces i podmienić certyfikat jak wspomniał @hauleth albo spróbować debugować ten proces i zobaczyć co tam w nim siedzi.
Możesz też zaczarować, postawić sobie prosty skrypt który słucha na 443, ustawić w /etc/hosts te dziwne domeny na localhost i zobaczyć co ten proces ci wyśle (patrz https://airman604.medium.com/simple-tls-listener-4e1cca7856b8 )
Sprawdziłbym też co to za domeny, bo moze są legitne? Z drugiej strony malware często stosuje tzw domain-generation-algorithm, więc wylicza sobie domenę na podstawie czasu, a same domeny żyja bardzo krótko.