VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Доступ через Tailscale и OpenSSH пережил отключение C2 — что это значит

Доступ через Tailscale и OpenSSH пережил отключение C2 — что это значит

Коллеги, хочу обратить внимание: в сфере кибербезопасности зафиксирован случай, когда оператор сохранил доступ через Tailscale и OpenSSH, несмотря на отключение C2.

Коротко:
— Исследование Cato зафиксировало 339 команд и пошаговый лог оператора.
— Оператор установил OpenSSH, подключил машину к приватной сети Tailscale, настроил SSH-ключ и обратный -R туннель.
— Havoc C2 отключили, но доступ остался; агенты вернулись при восстановлении инфраструктуры.

Что смотреть:
— OpenSSH на Windows, tailscale.exe, ssh -R туннели;
— .vbs и wscript.exe в пользовательских папках, планировщики с highest privileges, изменения powercfg;
— блокировка DuckDNS и поиск скрытых слоёв устойчивости.

Почему это важно: отключение C2 не гарантирует удаления доступа — ищите скрытые пути возврата.

Как Вы проверяете, что нет «тихих» дверей после устранения C2?

#кибербезопасность #ИБ #Tailscale #OpenSSH

Последние комментарии

Комментариев пока нет.