关于cobaltstrike 3.14生成的https远控木马流量的疑问
最近在看cobaltstrike的马的流量特征,看http的马一切很正常,但是测试https马的时候,发现会发起一个请求地址为:
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
这是微软的地址,难道是因为证书原因吗,哪位大佬解释一下。
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
这是微软的地址,难道是因为证书原因吗,哪位大佬解释一下。
评论21次
是不是抓到了机器本身发出的xi统更新请求