Comunicazione tra macchine infette tramite l'ascolto di determinate porte

1

Esistono studi di casi dettagliati in cui le macchine infette in una determinata rete o su Internet erano comunicanti tra loro (non mi interessano i casi con solo comunicazioni macchina < - > C & C)?

Ad esempio: PC-A viene infettato, quindi infetta PC-B ecc ... PC-A e forse altri aprono una porta e quindi le macchine infette comunicano tra loro (e forse anche con C & C).

    
posta ENG 31.08.2016 - 17:41
fonte

1 risposta

0

Non so cosa ti aspetti esattamente quando chiedi "case-study dettagliati" , ma se PC-B non ha accesso a Internet, è una pratica ben nota per l'attaccante utilizzare PC-A come relè tra PC-B e C & C:

PC-B <---> PC-A <---> C&C

Per dare un esempio più concreto:

  1. PC-A appartiene alla LAN degli utenti, questo è il computer in cui le persone accedono alle loro e-mail e navigano sul Web. Purtroppo, una e-mail o una pagina Web è stata infettata, contaminando così PC-A.
  2. Una volta in esecuzione nella LAN, in modo autonomo o controllato a distanza da C & C, il virus inizia a eseguire la scansione della rete e tenta di propagarsi. Raggiunge PC-B (vulnerabilità non corretta, password scadente o altro) e lo contamina.
  3. PC-B appartiene a un'altra rete ristretta senza accesso a Internet (con possibilità di accedere a risorse più interessanti!). Il virus può impostare un modo per PC-B di utilizzare PC-A come relay per ottenere nuovi ordini dai dati C & C e exfiltrate.

Questo relay può assumere qualsiasi forma a seconda della fantasia e dei requisiti dell'attaccante. Può andare da semplici funzionalità proxy a una vera e propria rete peer-to-peer che assicura che la rete dei virus rimanga funzionale anche se alcune macchine relay vengono decontaminate.

    
risposta data 31.08.2016 - 18:07
fonte

Leggi altre domande sui tag