SlideShare a Scribd company logo

Extended summary of dark matter uncovering the dark comet rat ecosystem

Download as PPTX, PDF
A
AndreaValente20

Extended summary of dark matter uncovering the dark comet rat ecosystem

Engineering
1 of 10
Extended Summary of “Dark Matter: Uncovering the DarkComet RAT Ecosystem” BROWN FARINHOLT, MOHAMMAD REZAEIRAD, DAMON MCCOY, AND KIRILL LEVCHENKO. IN PROCEEDINGS OF THEWEB CONFERENCE 2020 (WWW’20), APRIL 20–24, 2020, TAIPEI, TAIWAN. PAGES 2109 –2120. Laureando: Andrea Valente Relatore: Professor Alberto Bartoli Corso di Studi in Ingegneria Elettronica ed Informatica Anno Accademico 2020/2021
DarkComet ed il suo ecosistema DarkComet è un malware che consente di ottenere informazioni personali delle persone, spiarle ed interagirvi da remoto. Le vittime credono che sia un file od un programma sicuro. Operatori: i malintenzionati; Software controller: consente il controllo dei dispositivi e la configurazione e compilazione degli stub; Controller: calcolatori su cui è in esecuzione il software controller; Stub: il programma in esecuzione sul computer della vittima.
Studio dell’ecosistema tramite database e file di configurazione I ricercatori hanno cercato di capire:  quante sono e cosa subiscono le vittime di DarkComet?  quanti sono i controller e come si comportano gli operatori? L’obbiettivo era ottenere: I database usati dagli operatori per documentare le loro vittime; I file di configurazione dei software controller utilizzati. I ricercatori si sono finti delle vittime con i controller ed hanno sfruttato un errore di DarkComet: Uno stub può richiedere qualsiasi tipo di file al controller a cui si connette.
Raccolta dati  I domini o indirizzi IP da contattare sono nelle configurazioni scelte dagli operatori per gli stub;  Gli indirizzi IP sono stati monitorati da uno scanner ed è stato tentato il download da indirizzi sospetti;  Altre fonti di database sono hack packs, malware utilizzati e distribuiti da altri operatori con i database sulle loro vittime.
Database e file di configurazione I 2963 file di configurazione ottenuti servono per gestire la configurazione internamente. In essi sono codificate informazioni come: l’interazione tra operatore ed una vittima specifica; il tipo di interazione.
Determinazione dei controller Inizialmente: elenco di nomi di dominio o indirizzi IP in ogni configurazione↔ 1 controller, identificato da nome di host impiegato per scaricare i database. PROBLEMA: Si poteva ottenere lo stesso database da due o più controller. Però, per ogni controller un database ottenuto in precedenza avrà una tabella delle vittime prefisso della nuova e conterrà una riga a rappresentare i ricercatori. Quindi: Database ed elenco di vittime particolari ↔ 1 controller indipendentemente dal modo utilizzato per contattarlo.
Albero genealogico  Ogni nodo è un database, e può avere un genitore ed un figlio per la proprietà vista o più figli.  Se due o più operatori iniziano da uno stesso hack pack appaiono come delle ramificazioni.  Se per una ramificazione non c’era nei database in possesso il genitore corrispondente, questo veniva dedotto come esistente ed aggiunto.
Determinazione delle vittime Non tutte le 477292 vittime erano reali. Per stimarle meglio sono state utilizzate regole già definite in precedenza in altri studi, insieme a nuovi criteri come:  la presenza di un certo numero di tasti premuti;  un numero di giorni in cui erano stati premuti dei tasti attribuibile ad una persona vera;  la validità delle date dei giorni registrati.
Analisi dei controller e delle vittime  I 1029 controller infettavano collettivamente 69 nuove vittime al giorno durante l’osservazione.  Un operatore può possedere: 1. molte vittime in tutto il mondo; 2. poche vittime e principalmente nella stessa area geografica dell’operatore.  Il periodo di attività ed il numero di vittime aumentano se un operatore inizia con un hack pack. Tra ciò che le 57805 vittime stimate hanno dovuto subire ci sono:  molestie sessuali;  l’ottenimento di: 1. email; 2. conversazioni private; 3. credenziali d’accesso a siti e servizi; 4. numeri di carte di credito.  l’essere spiati attraverso le webcam.
Risultati  Si può dare priorità ad operatori con molte vittime o che ne acquisiscono di nuove rapidamente oppure a seconda del periodo di attività dei controller;  Dall’analisi dell’albero genealogico si vedono gli operatori che distribuiscono hack pack, il che consente il contrasto della diffusione di software controller DarkComet;  I ricercatori hanno comunicato agli Internet Service Provider le vittime, i quali le hanno notificate dell’infezione. L’analisi delle tabelle delle vittime è applicabile anche a dati ottenuti dopo arresti o perquisizioni;  Il lavoro fatto può essere esteso ad altri RAT che utilizzano database relazionali o che presentano la stessa possibilità di download di qualsiasi file. Dove questa capacità è limitata è possibile utilizzare gli hack packs con cui vengono distribuiti quei RAT come fonti di database.

Recommended

COUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - Slides
COUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - SlidesCOUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - Slides
COUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - Slides
DavidePanarella
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
AndreaValente20
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
DanieleMaijnelli
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
GiovanniCoronica
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”
RiccardoZulla
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
EnricoDavanzo1
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virus
Giovanni Mennea
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
Mario Mancini
 

Recommended

COUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - Slides
COUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - SlidesCOUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - Slides
COUGAR: Clustering Of Unknown malware using Genetic Algorithm Routines - Slides
DavidePanarella
 
Extended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystemExtended summary of dark matter uncovering the dark comet rat ecosystem
Extended summary of dark matter uncovering the dark comet rat ecosystem
AndreaValente20
 
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
Summary of "MalNet: A binary-centric network-level profiling of IoT Malware"
DanieleMaijnelli
 
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...
GiovanniCoronica
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”
RiccardoZulla
 
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
Extendedsummaryof phish timecontinuouslongitudinalmeasurementoftheeffectivene...
EnricoDavanzo1
 
Pericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virusPericoli nascosti di internet e tipologie di virus
Pericoli nascosti di internet e tipologie di virus
Giovanni Mennea
 
Cryptolocker come limitare il rischio
Cryptolocker come limitare il rischioCryptolocker come limitare il rischio
Cryptolocker come limitare il rischio
Mario Mancini
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Massimiliano Cristarella
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
TommasoBaldo
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
Vincenzo Calabrò
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò
 
Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdf
Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdfCome Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdf
Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdf
HelpRansomware
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
CristianFalvo
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
LeonardoSimonini
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica Forense
Antonio Notarangelo
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
AlbertoLuvisutto
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Stefano Maccaglia
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
HelpRansomware
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
NaLUG
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
 
Relazione
RelazioneRelazione
Relazione
Tommaso Furlan
 
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfCome Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
HelpRansomware
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Federico Cergol
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
Adalberto Casalboni
 

More Related Content

Similar to Extended summary of dark matter uncovering the dark comet rat ecosystem

Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
AlbertoLuvisutto
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Stefano Maccaglia
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
ManlioSantonastaso
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
 

Similar to Extended summary of dark matter uncovering the dark comet rat ecosystem (20)

Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...
 
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...Summary of 50 ways to leak your data an exploration of apps circumvention of ...
Summary of 50 ways to leak your data an exploration of apps circumvention of ...
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in Rete
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdf
Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdfCome Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdf
Come Decriptare MedusaLocker E Quanto Costa Recuperare I Dati.pdf
 
Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”Summary of “Measuring Security Practices and How They Impact Security”
Summary of “Measuring Security Practices and How They Impact Security”
 
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPIDAnalisi delle dipendenze architetturali dei servizi di autenticazione SPID
Analisi delle dipendenze architetturali dei servizi di autenticazione SPID
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica Forense
 
Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...Summary of millions of targets under attack, a macroscopic characterization...
Summary of millions of targets under attack, a macroscopic characterization...
 
Maccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologicoMaccaglia - Cybercrime un approccio tecnologico e sociologico
Maccaglia - Cybercrime un approccio tecnologico e sociologico
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptx
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Relazione
RelazioneRelazione
Relazione
 
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdfCome Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
Come Decriptare File Ransomware E Recuperare I Tuoi Dati.pdf
 
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
Sviluppo di un sistema per la classificazione di URL di phishing mediante tec...
 
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
 

Extended summary of dark matter uncovering the dark comet rat ecosystem

  • 1. Extended Summary of “Dark Matter: Uncovering the DarkComet RAT Ecosystem” BROWN FARINHOLT, MOHAMMAD REZAEIRAD, DAMON MCCOY, AND KIRILL LEVCHENKO. IN PROCEEDINGS OF THEWEB CONFERENCE 2020 (WWW’20), APRIL 20–24, 2020, TAIPEI, TAIWAN. PAGES 2109 –2120. Laureando: Andrea Valente Relatore: Professor Alberto Bartoli Corso di Studi in Ingegneria Elettronica ed Informatica Anno Accademico 2020/2021
  • 2. DarkComet ed il suo ecosistema DarkComet è un malware che consente di ottenere informazioni personali delle persone, spiarle ed interagirvi da remoto. Le vittime credono che sia un file od un programma sicuro. Operatori: i malintenzionati; Software controller: consente il controllo dei dispositivi e la configurazione e compilazione degli stub; Controller: calcolatori su cui è in esecuzione il software controller; Stub: il programma in esecuzione sul computer della vittima.
  • 3. Studio dell’ecosistema tramite database e file di configurazione I ricercatori hanno cercato di capire:  quante sono e cosa subiscono le vittime di DarkComet?  quanti sono i controller e come si comportano gli operatori? L’obbiettivo era ottenere: I database usati dagli operatori per documentare le loro vittime; I file di configurazione dei software controller utilizzati. I ricercatori si sono finti delle vittime con i controller ed hanno sfruttato un errore di DarkComet: Uno stub può richiedere qualsiasi tipo di file al controller a cui si connette.
  • 4. Raccolta dati  I domini o indirizzi IP da contattare sono nelle configurazioni scelte dagli operatori per gli stub;  Gli indirizzi IP sono stati monitorati da uno scanner ed è stato tentato il download da indirizzi sospetti;  Altre fonti di database sono hack packs, malware utilizzati e distribuiti da altri operatori con i database sulle loro vittime.
  • 5. Database e file di configurazione I 2963 file di configurazione ottenuti servono per gestire la configurazione internamente. In essi sono codificate informazioni come: l’interazione tra operatore ed una vittima specifica; il tipo di interazione.
  • 6. Determinazione dei controller Inizialmente: elenco di nomi di dominio o indirizzi IP in ogni configurazione↔ 1 controller, identificato da nome di host impiegato per scaricare i database. PROBLEMA: Si poteva ottenere lo stesso database da due o più controller. Però, per ogni controller un database ottenuto in precedenza avrà una tabella delle vittime prefisso della nuova e conterrà una riga a rappresentare i ricercatori. Quindi: Database ed elenco di vittime particolari ↔ 1 controller indipendentemente dal modo utilizzato per contattarlo.
  • 7. Albero genealogico  Ogni nodo è un database, e può avere un genitore ed un figlio per la proprietà vista o più figli.  Se due o più operatori iniziano da uno stesso hack pack appaiono come delle ramificazioni.  Se per una ramificazione non c’era nei database in possesso il genitore corrispondente, questo veniva dedotto come esistente ed aggiunto.
  • 8. Determinazione delle vittime Non tutte le 477292 vittime erano reali. Per stimarle meglio sono state utilizzate regole già definite in precedenza in altri studi, insieme a nuovi criteri come:  la presenza di un certo numero di tasti premuti;  un numero di giorni in cui erano stati premuti dei tasti attribuibile ad una persona vera;  la validità delle date dei giorni registrati.
  • 9. Analisi dei controller e delle vittime  I 1029 controller infettavano collettivamente 69 nuove vittime al giorno durante l’osservazione.  Un operatore può possedere: 1. molte vittime in tutto il mondo; 2. poche vittime e principalmente nella stessa area geografica dell’operatore.  Il periodo di attività ed il numero di vittime aumentano se un operatore inizia con un hack pack. Tra ciò che le 57805 vittime stimate hanno dovuto subire ci sono:  molestie sessuali;  l’ottenimento di: 1. email; 2. conversazioni private; 3. credenziali d’accesso a siti e servizi; 4. numeri di carte di credito.  l’essere spiati attraverso le webcam.
  • 10. Risultati  Si può dare priorità ad operatori con molte vittime o che ne acquisiscono di nuove rapidamente oppure a seconda del periodo di attività dei controller;  Dall’analisi dell’albero genealogico si vedono gli operatori che distribuiscono hack pack, il che consente il contrasto della diffusione di software controller DarkComet;  I ricercatori hanno comunicato agli Internet Service Provider le vittime, i quali le hanno notificate dell’infezione. L’analisi delle tabelle delle vittime è applicabile anche a dati ottenuti dopo arresti o perquisizioni;  Il lavoro fatto può essere esteso ad altri RAT che utilizzano database relazionali o che presentano la stessa possibilità di download di qualsiasi file. Dove questa capacità è limitata è possibile utilizzare gli hack packs con cui vengono distribuiti quei RAT come fonti di database.