alphasec academy

Get-DnsClientCache|select data,entry|fl - pokaż cache DNS

Dodatkowe informacje

Powyższe polecenie pozwoli prześledzić jakie hosty znajdują się w cache DNS. Dla Red Teamów może to być ciekawa informacja o hostach, które warto zaatakować. Z kolei Blue Team/Threat Hunterzy mogą to wykorzystać do wykrycia komunikacji ze złośliwymi hostami, np. jeśli zobaczycie coś takiego:
PS C:\Users\drg>  Get-DnsClientCache|select data,entry|fl

data  : 217.182.120.233
entry : 20202020202020202020202020202020.20202020202020202020202020200d0a.2020202032343720202020202
        0313620.202020313930303820202020.21.pmlabs.net

data  : 192.36.148.17
entry : 20202020202020202020202020202020.20202020202020202020202020200d0a.2020202032343720202020202
        0313620.202020313930303820202020.21.pmlabs.net

data  : 198.41.0.4
entry : 20202020202020202020202020202020.20202020202020202020202020200d0a.2020202032343720202020202
        0313620.202020313930303820202020.21.pmlabs.net

data  : 199.7.91.13
entry : 20202020202020202020202020202020.20202020202020202020202020200d0a.2020202032343720202020202
        0313620.202020313930303820202020.21.pmlabs.net
[...] 
to od razu widać, że miała miejsce ekfsiltracja/komunikacja C2 po DNSie.
Jeśli rekordów jest zbyt dużo, wynik można przekierować do
more
w celu analizy tekstowej, lub do
ogv (Out-GridView)
by pooglądać graficznie:
PS C:\Users\drg>  Get-DnsClientCache|select data,entry|fl|more
PS C:\Users\drg>  Get-DnsClientCache|select data,entry|fl|ogv

Windows Way

Bez powershella zawsze możemy użyć starego, dobrego
ipconfiga
:
ipconfig /displaydns 
ale ogranicza nam to wygodną możliwość przetwarzania wyników.

Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.