He estado perdiendo el tiempo con el kit de herramientas de explotación de Empire PowerShell por un tiempo. He estado "infectando" la PC de mi casa con una carga útil malintencionada y tratando de obtener acceso de administrador / persistencia, etc. Tengo un pequeño servidor en la nube de Debian que funciona como oyente para el imperio. Noté que no estaba recibiendo ninguna conexión de agente, a pesar de tener persistencia en la PC de mi hogar. También noté que el servidor parecía lento. Entré:
netstat -ptuna | grep 443 (puerto en el que se ejecuta la escucha)
y se conectó una dirección IP aleatoria originada en China. Rápidamente maté el proceso y reinicié el servidor. Al reiniciar tuve a los agentes de la PC de mi casa repoblando. ¿Era posible que esta dirección IP estuviera interceptando a mis agentes locales? ¿Debo limpiar y reinstalar la computadora de mi casa? ¿Debo crear un nuevo servidor en la nube?
Gracias de antemano por cualquier ayuda.