Компрометированный хост
Плагин воспроизводит C2 campaign replay: клиент имитирует заражённый хост, сервер — C2-контроллер. Кампании используют IOC, семейства, C2-команды и многошаговые цепочки как сетевые артефакты — без исполнения payload и без обращения к живой C2-инфраструктуре. Сценарии берутся из библиотеки «Сценарии компрометации C2 (PTI)».

Рис. 20 — Плагин «Компрометированный хост» в каталоге

Рис. 21 — Выбор кампаний и параметры C2
Табл. 190 – Параметры «Компрометированный хост»
| Название | Описание | Значение |
|---|---|---|
| Сценарии компрометации C2 (PTI) | Список загруженных кампаний | Отметьте одну или несколько |
| Покрытие сценариев | Первый сценарий или все сценарии кампании | Выберите режим |
| Режим bot ID | По порядку / Случайно / Из списка | Идентификаторы заражённых хостов в событиях |
| Таймаут шага | Ожидание ответа C2 на шаг сценария | 0–300 сек. (0 — без лимита; по умолчанию 30) |
| Интервал маяка C2 | Пауза между обращениями к C2 | 1–86400 сек. |
| Разброс интервала маяка | Jitter от базового интервала | 0–90 % |
| HTTP Host / DNS-запрос / URI / Тело запроса | Переопределение C2-артефактов | Пусто — IOC из кампании |
| Зациклить воспроизведение | Повтор сценариев на открытых соединениях | Один проход или цикл на длительность |
| Сессии / CPS | Число сессий и скорость открытия | По умолчанию 100 сессий / 10 CPS |
Типовая топология: клиентский плагин на одном агенте, серверный — на другом (или two-arm на одном стенде). Перед запуском импортируйте пакет C2-кампаний и дождитесь синхронизации на агенты (см. Настройки → Синхронизация и библиотеку C2 (PTI)).
Дашборд: compromised_host.