Шесть недель C2-канал Cobalt Strike через два Nginx-redirector'а — ноль алертов. Трафик маскировался под API-запросы к SaaS-порталу. На postmortem'е выяснилось: команда защиты не знала, какие артефакты оставляет Nginx в роли C2 redirector без расшифровки TLS.Механика...
Nginx reverse proxy: безопасность C2 и detection-чеклист для SOC
Источник: codeby.net