Una macchina sulla nostra rete è stata compromessa con Meterpreter.
Abbiamo catture di traffico dall'intero periodo del compromesso e un dump di memoria della macchina infetta in un momento in cui la connessione è stata stabilita.
Possiamo decodificare il traffico HTTPS / SSL che abbiamo acquisito?
Finora abbiamo usato il plug-in di dumpcerts di Volatility per estrarre alcuni certificati pubblici, ma non sono noti quelli privati. Sicuramente le chiavi private devono essere in memoria da qualche parte poiché la connessione è stata ancora stabilita?
La versione TLS è TLSv1 1.0. L'identificatore dell'algoritmo è sha256WithRSAEncryption.