این بات نت که به مدت 18 ماه مخفی شده بود، دارای برخی از جالب ترین کشتی های تجاری بود.

بزرگنمایی

این نوع تشخیص امنیتی نیست که اغلب اتفاق می افتد. یک گروه هکری که قبلاً ناشناخته بود، از یک درب پشتی جدید، تجارت درجه یک و مهندسی نرم افزار برای ایجاد یک بات نت جاسوسی استفاده کرد که تا حد زیادی در بسیاری از شبکه های قربانیان نامرئی بود.

این گروه که شرکت امنیتی Mandiant آن را UNC3524 می نامد، 18 ماه گذشته را صرف جستجوی شبکه های قربانیان با پنهان کاری غیرعادی کرده است. در مواردی که گروه اخراج می شود، زمان را برای آلوده کردن مجدد محیط قربانی و ادامه دادن از جایی که کار متوقف شده تلف نمی کند. کلیدهای زیادی برای نامرئی بودن آن وجود دارد، از جمله:

• استفاده از یک درب پشتی منحصربفرد Mandiant، Quietexit را فراخوانی می‌کند که روی متعادل‌کننده‌های بار، کنترل‌کننده‌های نقطه دسترسی بی‌سیم و سایر انواع دستگاه‌های اینترنت اشیا که از آنتی‌ویروس یا تشخیص نقطه پایانی پشتیبانی نمی‌کنند، کار می‌کند. این امر تشخیص با روش های سنتی را دشوار می کند
• نسخه‌های در پشتی سفارشی که از نام فایل‌ها و تاریخ ایجاد مشابه فایل‌های قانونی استفاده شده در دستگاه آلوده خاص استفاده می‌کنند.
• یک رویکرد زنده خارج از زمین که رابط‌ها و ابزارهای برنامه‌نویسی ساده ویندوز را به کد سفارشی ترجیح می‌دهد تا سبک‌ترین ردپای ممکن را از خود به جای بگذارد.
• روشی غیرمعمول که در آن یک درب پشتی مرحله دوم به یک زیرساخت کنترل شده توسط مهاجم متصل می شود و اساساً به عنوان یک سرور رمزگذاری شده با TLS عمل می کند که داده ها را از طریق پروتکل SOCKS پراکسی می کند.

فتیش برای تونل زنی با جوراب

در یک نشریه، محققان Mandiant Doug Bienstock، Melissa Der، Josh Madley، Tyler McClellan و Chris Gardner نوشتند: