RAT Sniffen?

[0nk3lz]

Hey Leute, sry wenn ich in die falsche Section poste, aber ich denke, dass passt hier rein...
Das VTuT zu dem Thema ist leider down, von Ersteller kommt auch keine Antwort

Meine Frage ist nun, wonach genau muss ich Ausschau halten, wenn ich mit Wireshark einen RAT-Server sniffen will...?
Bei nem Stealer ist das ja ganz einfach mit dem FTP Protokoll, aber wie findet man dann den RAT in dem wirren haufen von Verbindungen?

[c1ox]

Bei nem server könntest dus ja auch auf anubis hochladen und auf die verbindungen schauen - mit wireshark weiß ichs leider net :>

[Jaro]

Du kannst zum Beispiel die "Standart" Ports der RAT's checken, Bifrost 81, Shark 666, usw. ..

[VeN0m]

Die Ports wären schonmal eine gute Idee. Du kannst diese auch direkt filtern bei Wireshark. Anderes wird dann garnicht erst gelogged. Oder Du schließt wirklich alle Programme, die eine Verbindung herstellen könnte: Firefox, Internet Explorer, Opera, Thunderbird, ICQ, MSN etc. und führst dann die Datei aus, die Du sniffen möchtest. Und dann schaust Du nach Verbindungen, die Dir komisch vorkommen. Ungewöhnliche Portnummern etc.