该标签下有 1 篇文章
C2 是被入侵的终端回连攻击者服务器(回调/信标)、用于接收命令与外传数据的远程操控通道,处于入侵「之后」的阶段。检测的关键是外向的可疑定期通信与已知的恶意目的地。防御靠出口(egress)控制·DNS 监控·IOC/IOA 比对·最小权限。在入侵调查中,确认「不存在常驻 C2」也很重要。