SOC палит мой beacon

[mock]

Откид в течении 1-2 суток без явных причин. SintenentalOne, CrowdStrike Falcon и тп.
Используется не самый бесплавный транспорт, а именно WSS.
Сейчас оперативно переписываю C2, добавляю динамические профиля (основной транспорт HTTP/S, но можно переключиться на WS).
Полностью отказаться от WebSocket нельзя, тк он необходим для прокси и форвардинга портов.
Как остаться незамеченным? Стоит ли имплементить DNS или он не так актуален?

 

[USA_Straday]

Откид в течении 1-2 суток без явных причин. SintenentalOne, CrowdStrike Falcon и тп.
Используется не самый бесплавный транспорт, а именно WSS.
Сейчас оперативно переписываю C2, добавляю динамические профиля (основной транспорт HTTP/S, но можно переключиться на WS).
Полностью отказаться от WebSocket нельзя, тк он необходим для прокси и форвардинга портов.
Как остаться незамеченным? Стоит ли имплементить DNS или он не так актуален?

Скорее всего дело просто в сигнатурах в памяти\строках\последовательностей вызовов винапи

 

[xChimera]

Откид в течении 1-2 суток без явных причин. SintenentalOne, CrowdStrike Falcon и тп.
Используется не самый бесплавный транспорт, а именно WSS.
Сейчас оперативно переписываю C2, добавляю динамические профиля (основной транспорт HTTP/S, но можно переключиться на WS).
Полностью отказаться от WebSocket нельзя, тк он необходим для прокси и форвардинга портов.
Как остаться незамеченным? Стоит ли имплементить DNS или он не так актуален?

Open tox please

 

[Saga5300]

Скорее всего дело просто в сигнатурах в памяти\строках\последовательностей вызовов винапи

SOC вешает свои вотчдоги помимо едров