Pristup preko Tailscale i OpenSSH preživeo isključenje C2 — šta znači

Kolege, napomena: zabeležen je slučaj kada je operator zadržao pristup preko Tailscale i OpenSSH uprkos isključenju C2.
Kratko:
— Cato je zabeležio 339 komandi i detaljan log.
— Operator je instalirao OpenSSH, povezao mašinu na privatnu Tailscale mrežu, podesio SSH‑ključ i reverse -R tunel.
— Havoc C2 je ugašen, ali pristup je ostao; agenti su se vratili po obnovi infrastrukture.
Proveriti:
— OpenSSH na Windowsu, tailscale.exe, ssh -R tuneli;
— .vbs i wscript.exe u korisničkim folderima, zadaci sa najvišim privilegijama, izmene powercfg;
— blokada DuckDNS i skriveni slojevi otpornosti.
Zaključak: isključenje C2 ne garantuje uklanjanje pristupa — proverite skrivene puteve povratka.
Kako Vi proveravate da nema „tihih“ vrata nakon uklanjanja C2?
#kibernetskaBezbednost #InformacionaBezbednost #Tailscale #OpenSSH


Poslednji komentari
Još nema komentara.