Перейти к основному содержимому

Компрометированный хост

Плагин воспроизводит C2 campaign replay: клиент имитирует заражённый хост, сервер — C2-контроллер. Кампании используют IOC, семейства, C2-команды и многошаговые цепочки как сетевые артефакты — без исполнения payload и без обращения к живой C2-инфраструктуре. Сценарии берутся из библиотеки «Сценарии компрометации C2 (PTI)».

Рис. 20 — Каталог: Компрометированный хост

Рис. 20 — Плагин «Компрометированный хост» в каталоге

Рис. 21 — Параметры плагина «Компрометированный хост»

Рис. 21 — Выбор кампаний и параметры C2

Табл. 190 – Параметры «Компрометированный хост»

НазваниеОписаниеЗначение
Сценарии компрометации C2 (PTI)Список загруженных кампанийОтметьте одну или несколько
Покрытие сценариевПервый сценарий или все сценарии кампанииВыберите режим
Режим bot IDПо порядку / Случайно / Из спискаИдентификаторы заражённых хостов в событиях
Таймаут шагаОжидание ответа C2 на шаг сценария0–300 сек. (0 — без лимита; по умолчанию 30)
Интервал маяка C2Пауза между обращениями к C21–86400 сек.
Разброс интервала маякаJitter от базового интервала0–90 %
HTTP Host / DNS-запрос / URI / Тело запросаПереопределение C2-артефактовПусто — IOC из кампании
Зациклить воспроизведениеПовтор сценариев на открытых соединенияхОдин проход или цикл на длительность
Сессии / CPSЧисло сессий и скорость открытияПо умолчанию 100 сессий / 10 CPS

Типовая топология: клиентский плагин на одном агенте, серверный — на другом (или two-arm на одном стенде). Перед запуском импортируйте пакет C2-кампаний и дождитесь синхронизации на агенты (см. Настройки → Синхронизация и библиотеку C2 (PTI)).

Дашборд: compromised_host.