Alcuni membri della rete al mio lavoro sembrano pensare che un cliente che monitoriamo possa far parte di una botnet, ma il picco del traffico che vediamo di notte si ferma sempre al massimo intorno alle 8:00 del mattino, quando gli impiegati arrivano.
Prima di dare fastidio al cliente, vorrei sapere se i nodi botnet sono noti per smettere di funzionare come parte di una botnet durante l'orario d'ufficio. Questo tipo di cose è noto per accadere a tutti?
Botnet e malware, specialmente quelli sofisticati, sono fatti per essere nascosti da un malware. Il fatto che il pezzo di malware di cui parli "smetta di funzionare" durante l'orario di ufficio mi fa sospettare che un bot di exfiltrazione dati sia più di uno zombi di uso generale.
Il primo esempio di malware che mi viene in mente è Lazarus / Bluenoroff , si è specializzato in attacchi informatici finanziari e laddove gli aggressori hanno operato fuori orario in base al programma e al fuso orario della vittima per evitare il rilevamento.
Dipende dalla botnet, ma è una buona funzionalità della botnet, in questo modo i nodi infetti della botnet potrebbero passare inosservati agli utenti infetti. Lo stesso effetto stava accadendo con i cryptominer.
Considera che il lavoro di un Amministratore / Sicurezza è quello di controllare i registri di firewall, macchine e così via, in modo che possano essere in grado di rilevare questo tipo di attività anche al di fuori dell'orario di ufficio.