Il mio SIEM ha prodotto qualcosa di intrigante. Sono andato alla ricerca di connessioni SSH non autorizzate e ho cercato il protocollo SFTP per errore. Ho trovato un server Web Windows che si collega dalla porta 80 a un indirizzo IP esterno sulla porta 115.
Nella ricerca di questo ho scoperto RFC913: SFTP (Simple File Transfer Protocol) , un protocollo di trasferimento file proposto che non è mai stato ampiamente adottato, che è stato proposto di esistere tra TFTP e FTP, ed eseguito sulla porta 115. IETF registra la porta solo per scopi storici.
Ho eseguito AV e un paio di strumenti rootkit contro il server e non ho scoperto alcuna infezione.
La mia domanda è: qualcuno è a conoscenza di malware, trojan, ecc. che sfruttano il semplice trasferimento di file?