Доступ через Tailscale и OpenSSH пережил отключение C2 — что это значит

Коллеги, хочу обратить внимание: в сфере кибербезопасности зафиксирован случай, когда оператор сохранил доступ через Tailscale и OpenSSH, несмотря на отключение C2.
Коротко:
— Исследование Cato зафиксировало 339 команд и пошаговый лог оператора.
— Оператор установил OpenSSH, подключил машину к приватной сети Tailscale, настроил SSH-ключ и обратный -R туннель.
— Havoc C2 отключили, но доступ остался; агенты вернулись при восстановлении инфраструктуры.
Что смотреть:
— OpenSSH на Windows, tailscale.exe, ssh -R туннели;
— .vbs и wscript.exe в пользовательских папках, планировщики с highest privileges, изменения powercfg;
— блокировка DuckDNS и поиск скрытых слоёв устойчивости.
Почему это важно: отключение C2 не гарантирует удаления доступа — ищите скрытые пути возврата.
Как Вы проверяете, что нет «тихих» дверей после устранения C2?
#кибербезопасность #ИБ #Tailscale #OpenSSH


Последние комментарии
Комментариев пока нет.