Una máquina en nuestra red se vio comprometida con Meterpreter.
Tenemos capturas de tráfico de todo el período del compromiso y un volcado de memoria de la máquina infectada en el momento en que se estableció la conexión.
¿Podemos descifrar el tráfico HTTPS / SSL que hemos capturado?
Hasta ahora hemos utilizado el complemento de dumpcerts de Volatility para extraer algunos certificados públicos, pero no hay aparentes privados. Seguramente las claves privadas deben estar en la memoria en algún lugar ya que la conexión aún estaba establecida.
La versión TLS es TLSv1 1.0. El identificador de algoritmo es sha256WithRSAEncryption.