一台终端发现外联恶意C2,上机排查无任何发现,是啥原因

请先 登录 后评论

4 个回答

360nb

1、首先需要确认信息来源,到底是否可靠(中过太多坑);

2、根据C2地址关联一下来源是否有特定源;

3、是否存在定时连接嫌疑,检查机器上是否存在明显问题,如:开放rdp等。

4、定时任务等常规安全问题排查;

5、是否由于外界移动设备插入导致运行某些软件,关闭计算机无重启行为等等。

请先 登录 后评论
Colorado

事件分析或者日志那里看看,再者查看进程信息、网络连接状态,排查是否存在异常

请先 登录 后评论
Arthur

查看配置文件是否被恶意加载进去了别的地址,然后对关键代码进行深入排查。

请先 登录 后评论
hupo_zhu
查看网络连接和进程信息是否有异常,有可能是恶意外联程序是定时连接的,可在计划任务中查找
请先 登录 后评论