деанон c2 сервера

  1. Сергей Попов

    Статья Деанонимизация C2-инфраструктуры: от dangling CNAME до атрибуции оператора через IP-пивотинг

    При разборе инфраструктуры одной Cobalt Strike-кампании ключевой зацепкой оказался не сэмпл и не IP из фида, а CNAME-запись субдомена скомпрометированной организации. Она указывала на Heroku-приложение, удалённое за полгода до инцидента. Этот dangling CNAME позволил восстановить исторический IP...