1 artículo con esta etiqueta
C2 es el canal que un dispositivo comprometido usa para llamar al servidor del atacante (una baliza) para recibir órdenes y exfiltrar datos: la fase posterior a la brecha. Las claves para detectarlo son el tráfico saliente periódico sospechoso y los destinos maliciosos conocidos. Defensas: filtrado de salida, monitoreo de DNS, cotejo de IOC/IOA, mínimo privilegio. Confirmar que 'no hay C2 residente' es una parte clave de la investigación de una brecha.