Comunicazione tra macchine infette tramite l'ascolto di determinate porte

Non so cosa ti aspetti esattamente quando chiedi "case-study dettagliati" , ma se PC-B non ha accesso a Internet, è una pratica ben nota per l'attaccante utilizzare PC-A come relè tra PC-B e C & C:

PC-B <---> PC-A <---> C&C

Per dare un esempio più concreto:

1. PC-A appartiene alla LAN degli utenti, questo è il computer in cui le persone accedono alle loro e-mail e navigano sul Web. Purtroppo, una e-mail o una pagina Web è stata infettata, contaminando così PC-A.
2. Una volta in esecuzione nella LAN, in modo autonomo o controllato a distanza da C & C, il virus inizia a eseguire la scansione della rete e tenta di propagarsi. Raggiunge PC-B (vulnerabilità non corretta, password scadente o altro) e lo contamina.
3. PC-B appartiene a un'altra rete ristretta senza accesso a Internet (con possibilità di accedere a risorse più interessanti!). Il virus può impostare un modo per PC-B di utilizzare PC-A come relay per ottenere nuovi ordini dai dati C & C e exfiltrate.

Questo relay può assumere qualsiasi forma a seconda della fantasia e dei requisiti dell'attaccante. Può andare da semplici funzionalità proxy a una vera e propria rete peer-to-peer che assicura che la rete dei virus rimanga funzionale anche se alcune macchine relay vengono decontaminate.