Qual è la durata di vita di un C2?

2

Ho lavorato sulla creazione di blacklist dinamiche, e una domanda che è venuta fuori è per quanto tempo le voci tipiche dovrebbero essere mantenute su una lista nera. Nell'interesse del capitale netto, ci dovrebbe essere ovviamente un punto in cui le voci sono invecchiate per impedire il blocco del traffico legittimo verso o da un IP che è stato riassegnato.

Ho cercato in giro, ma non sono riuscito a trovare alcuna informazione specifica sulla durata di un server C2 (noto anche come C & C o Command and Control).

Ovviamente varia da caso a caso, e non c'è modo di essere sicuri al 100% perché ci sono così tanti fattori sconosciuti; ma sono curioso di sapere se ci sono informazioni basate sulla ricerca che non sono stato in grado di trovare.

    
posta Nstr10 26.07.2016 - 20:02
fonte

1 risposta

2

Il gruppo di lavoro anti-phishing (APWG) ha statistiche su quanto tempo ci vuole, dopo la notifica (ad esempio, attraverso MarkMonitor o simili ), per far cadere un sito dead-drop (ad es. malware o botnet C2). Prendilo con un pizzico di sale però, l'APWG traccia gli attori criminali, ma gli attori dello stato-nazione sono stati trovati per mantenere il loro C2 in esecuzione per 4-5 anni, forse anche di più.

Alcuni payload non utilizzano comunicazioni standard basate su IPv4 (alcuni esempi comuni includono i canali covert del protocollo di routing degli indirizzi o anche pipe denominate SMB) - e alcuni payload non hanno comunicazioni di rete (nemmeno RF o speaker) perché sono programmati per fare danni (o degradare sistemi, negare l'accesso, et al) come bombe logiche.

    
risposta data 26.07.2016 - 20:19
fonte

Leggi altre domande sui tag