La shell inversa potrebbe esporre l'attaccante?

Hai ragione. In effetti, molti sistemi di difesa sono progettati per cercare il traffico verso un server C & C, ei dettagli sul traffico identificano la destinazione (il server C & C dell'attacker).

Quindi, l'attaccante deve tenerne conto e progettare questo problema.

La soluzione ovvia è non rendere il tuo PC personale il server C & C. Invece, usa un'altra macchina compromessa (i server web non protetti fanno ottimi C & C).

Se l'attaccante deve connettersi direttamente, le opzioni più semplici sono l'utilizzo del wifi pubblico gratuito, il crack di un vicino, le VPN, i proxy, i TOR o l'uso di una scheda SIM del masterizzatore. Qualcosa che offusca l'IP dell'attaccante o ne prende in prestito un altro.

Cosa ti manca:

La maggior parte degli attaccanti è abbastanza intelligente per non hackerare direttamente dalla propria home-box senza usare un VPN , proxy o il routing attraverso cipolla-rete .

In Theory, se apri una shell inversa senza alcuna precauzione sei esposto, sì.

Sì, ed è praticamente facile da fare, se l'attaccante non ha adottato alcuna misura per nascondere la sua identità. In tal caso, anche una scarica di cavi sarebbe sufficiente per trovare l'ip al quale il malware sta "parlando". Anche l'ingegneria inversa è facile. Ecco perché in un attacco serio, in tempo reale, una shell inversa sarebbe codificata o impacchettata, quindi l'inversione sarebbe difficile e il suo processo sarebbe migrato in un altro processo di sistema, quindi il suo traffico di rete sarebbe più difficile da rilevare. Potrebbe anche essere personalizzato per aprire una shell per una finestra temporale specifica e non costantemente, per evitare rilevamenti IDS. Ultimo, ma non meno importante, come @Gewure menzionato, il loro traffico verrà inviato tramite VPN, proxy (i) o attraverso la rete cipriota.