模拟C2应急响应-外连
靶场题目
开启靶场
打开wireshark发现外联地址,发现会像外dns 请求解析 bingdu.haobchang.com 那么这就是外联服务端链接地址 的域名
任何DNS解析请求,解析出来的都是一个IP地址。 如果这个IP地址是公网IP(不属于内网保留地址段),那么它就是一个外部地址。
外联频率就是0-5,5-10,所以外联频次是5秒1次.
第三个问题:模拟C2是什么语言开发的?
打开ProcessExplorer
打开 procexp 通过排序后 锁定 一些没有明显标识特征的 exe 可执行程序,最终定位到 run.exe
在 strings 种 找到了 go 语言的 特征
