Extended summary of “Understanding the Performance Costs and Benefits of Pri...RiccardoDeMonte
Extended summary of “Understanding the Performance Costs and Benefits of Privacy-focused Browser Extensions” (Presentation) written by Riccardo De Monte
Extended summary of “Understanding the Performance Costs and Benefits of Pri...RiccardoDeMonte
Extended summary of “Understanding the Performance Costs and Benefits of Privacy-focused Browser Extensions” (Presentation) written by Riccardo De Monte
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
Summary of “Understanding Open Ports in Android Applications: Discovery, Diagnosis, and Security Assessment”.
Source paper: https://www.ndss-symposium.org/ndss-paper/understanding-open-ports-in-android-applications-discovery-diagnosis-and-security-assessment/
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, Coronica Giovanni, a.a. 2021-2022, Relatore: Prof. Alberto BARTOLI
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
effettuata
durante un penetration test.
Tale operazione ha l’obiettivo di raccogliere quante più informazioni
possibili circa l’avversario senza però effettuare alcun attacco attivo.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
Programma il futuro: una scelta open sourceMarco Ferrigno
Un'analisi tecnica dello strumento che avrà un grande impatto culturale sul futuro del nostro Paese: Programma Il Futuro. Nato da un'idea che ha visto coinvolti Il MIUR, il CINI – Consorzio Interuniversitario Nazionale per l’Informatica - e aziende IT intervenute come sponsor, l'iniziativa ha l’obiettivo di fornire alle scuole una serie di strumenti semplici, divertenti e facilmente accessibili per formare gli studenti ai concetti di base dell'informatica. Il fine ultimo è dunque la formazione sin dalla tenera età del pensiero computazionale. Scopriremo insieme al collega Mario Rossano (responsabile della progettazione software) il perchè di un approccio opensource ad un progetto ad elevata criticità per il sistema Paese.
More Related Content
Similar to Extended summary of dark matter uncovering the dark comet rat ecosystem
Porte aperte nelle app android scoperta diagnosi e valutazione di sicurezza ...Massimiliano Cristarella
Summary of “Understanding Open Ports in Android Applications: Discovery, Diagnosis, and Security Assessment”.
Source paper: https://www.ndss-symposium.org/ndss-paper/understanding-open-ports-in-android-applications-discovery-diagnosis-and-security-assessment/
Extended Summary of “Open for hire: attack trends and misconfiguration pitfal...GiovanniCoronica
Extended Summary of “Open for hire: attack trends and misconfiguration pitfalls of IoT devices”, Coronica Giovanni, a.a. 2021-2022, Relatore: Prof. Alberto BARTOLI
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
effettuata
durante un penetration test.
Tale operazione ha l’obiettivo di raccogliere quante più informazioni
possibili circa l’avversario senza però effettuare alcun attacco attivo.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
Programma il futuro: una scelta open sourceMarco Ferrigno
Un'analisi tecnica dello strumento che avrà un grande impatto culturale sul futuro del nostro Paese: Programma Il Futuro. Nato da un'idea che ha visto coinvolti Il MIUR, il CINI – Consorzio Interuniversitario Nazionale per l’Informatica - e aziende IT intervenute come sponsor, l'iniziativa ha l’obiettivo di fornire alle scuole una serie di strumenti semplici, divertenti e facilmente accessibili per formare gli studenti ai concetti di base dell'informatica. Il fine ultimo è dunque la formazione sin dalla tenera età del pensiero computazionale. Scopriremo insieme al collega Mario Rossano (responsabile della progettazione software) il perchè di un approccio opensource ad un progetto ad elevata criticità per il sistema Paese.
Similar to Extended summary of dark matter uncovering the dark comet rat ecosystem (20)
Extended summary of dark matter uncovering the dark comet rat ecosystem
1. 1
UNIVERSITA’ DEGLI STUDI DI TRIESTE
Dipartimento di Ingegneria e Architettura
Corso di Studi in Ingegneria Elettronica ed Informatica
Anno Accademico 2020/2021
Extended Summary of “Dark Matter: Uncovering the
DarkComet RAT Ecosystem”
Relatore: Professor Alberto Bartoli
Laureando: Andrea Valente
2. 2
Sommario
Introduzione ...................................................................................................................................................... 3
Metodologia ...................................................................................................................................................... 3
Raccolta dati.................................................................................................................................................. 3
I database ed i file di configurazione......................................................................................................... 3
Le fonti....................................................................................................................................................... 4
Elaborazione ed analisi dei dati..................................................................................................................... 4
Determinazione dei controller .................................................................................................................. 4
Determinazione delle vittime.................................................................................................................... 5
Analisi dei controller e delle vittime.......................................................................................................... 5
Risultati.............................................................................................................................................................. 6
Bibliografia e Sitografia ..................................................................................................................................... 7
3. 3
Introduzione
In “Dark Matter: Uncovering the DarkComet RAT Ecosystem”, Brown Farinholt, Mohammad Rezaeirad,
Damon McCoy, e Kirill Levchenko hanno studiato le vittime dei Trojan ad accesso remoto (o RAT) DarkComet.
L’articolo è stato presentato nel mese di aprile del 2020 a Taipei durante la conferenza “TheWeb Conference
2020”1
.
DarkComet è un noto software malevolo, o malware, che garantisce la possibilità di ottenere informazioni
personali delle persone, spiarle ed interagirvi da remoto. Le vittime credono di avere a che fare con un file
od un programma sicuro, il quale nasconde la sua vera natura come il cavallo di Troia nell’Eneide2
. Spesso le
interazioni tra gli operatori, i malintenzionati, e le vittime sono veri e propri abusi che comprendono anche
estorsioni di soldi o di favori sessuali.
La scelta di concentrarsi su chi subisce un’infezione è dovuta ad una maggiore attenzione riservata in
passato agli operatori da altri studi. Durante il loro lavoro i ricercatori hanno affrontato alcune difficoltà, ad
esempio nell’identificare chi viene effettivamente infettato da questo tipo di malware. Infatti l’attività di altri
ricercatori o di produttori di anti malware, impegnati nello studio e nella lotta di questo fenomeno, viene
registrata dagli autori come altre vittime.
È stato fatto anche un lavoro per determinare i controller reali, ovvero i calcolatori su cui è in esecuzione
il software controller. Quest’ultimo consente agli operatori il controllo dei dispositivi altrui e la configurazione
e compilazione degli stub, ovvero il programma in esecuzione sul computer della vittima.
I metodi utilizzati ed i risultati esposti nell’ articolo rappresentano un contributo nella lotta contro questo
fenomeno e nell’assistenza alle vittime.
Metodologia
Raccolta dati
I database ed i file di configurazione
Ai ricercatori interessava principalmente ottenere i database usati dagli operatori per documentare le loro
vittime, assieme ai file di configurazione relativi ai software controller utilizzati. I database sono di tipo
relazionale, cioè i dati che contengono sono organizzati in tabelle.
La prima è quella che costituisce l’elenco delle vittime: ogni riga è identificata da un codice univoco ed
equivale ad un dispositivo infettato. È possibile aggiungere nuove vittime solamente alla fine. I download di
database effettuati dai ricercatori vengono registrati come righe particolari per poter essere riconosciuti
successivamente. Dal punto di vista degli operatori risultano come normali vittime. Sempre all’interno di
questa tabella sono contenuti gli indirizzi IP delle vittime, da cui i ricercatori hanno potuto determinare la
loro posizione.
La tabella keyloggers documenta i tasti digitati da ciascuna vittima, con anche il nome della finestra attiva
mentre venivano premuti. Ogni giorno equivale ad una riga, in cui compare il codice univoco della vittima in
questione. L’ultima è la tabella che descrive i gruppi creati dall’operatore per categorizzare le vittime. Ad ogni
riga è associato un gruppo.
I file di configurazione invece permettono di capire se l’operatore ha interagito con una vittima specifica
o meno e come lo ha fatto, ad esempio spiandola con la webcam od osservando i contenuti sullo schermo
del dispositivo infettato.
4. 4
Le fonti
I ricercatori per ottenere i database ed i file di configurazione si sono finti delle vittime con i controller ed
hanno sfruttato una funzionalità di DarkComet: uno stub, o un dispositivo su cui sembra in esecuzione, può
richiedere qualsiasi tipo di file al controller a cui si connette. Normalmente è impiegata per aggiornare uno
stub, ad esempio. Per poter scaricare questi dati è stato necessario determinare quali domini o indirizzi IP
contattare, un’informazione contenuta nelle configurazioni scelte dagli operatori per gli stub.
Alcune delle fonti di configurazioni, come MalwareConfig, VirusTotal e ReversingLabs sono servizi con cui
è possibile analizzare file sospetti ed ottenere informazioni a riguardo, tra cui le configurazioni3
. Con Shodan
Hunter invece gli indirizzi IP ottenuti sono frutto di un software che, fingendo di essere un dispositivo
infettato, contatta indirizzi IP. Se il dispositivo raggiunto è in grado di comunicare con protocolli e numeri di
porta riconducibili ad attività di controllo allora è un controller4
. In totale sono state ottenute 146199
configurazioni uniche, ognuna un elenco di uno o più nomi di dominio od indirizzi IP.
La maggior parte dei domini ottenuti sono riconducibili a servizi che forniscono nomi di dominio dinamici
o DDNS5
, i quali possono rimanere associati ad uno stesso host anche se il suo indirizzo IP cambia nel tempo.
Una volta risolti i domini, più volte nel caso di quelli dinamici, gli indirizzi IP sono stati monitorati da uno
scanner, un programma che contatta i calcolatori che li possiedono per determinare se sono attivi o meno
protocolli e numeri di porta riconducibili a DarkComet6
. Nel periodo di osservazione di 7 mesi 6035 indirizzi
hanno mostrato attività d’interesse da cui, se possibile, sono stati scaricati i database più volte per studiare
l’acquisizione di nuove vittime.
Non tutti i download sono riusciti: infatti durante la loro attività i ricercatori hanno subito attacchi DOS,
per cui le risorse di rete venivano completamente impegnate7
. In aggiunta un operatore può essere notificato
di un download in corso ed arrestarlo, come anche essere attivo per un periodo di tempo limitato. In alcuni
casi i ricercatori hanno deciso di non tentare alcun download, in quanto alcuni hosts contattati possedevano
email e web servers attivi, segno che probabilmente venivano usati. In totale sono stati ottenuti 6620
database e 2963 file di configurazione.
Altre fonti di database sono hack packs ottenuti da forum per hackers e VirusTotal, malware utilizzati già
da altri operatori e distribuiti da loro sotto forma di file compressi in cui sono inclusi i database sulle loro
vittime. Un hack pack può essere analizzato con VirusTotal perché spesso è infettato dal suo creatore.
Elaborazione ed analisi dei dati
Determinazione dei controller
I ricercatori hanno associato l’elenco di nomi di dominio o indirizzi IP in ogni configurazione ad un
controller ed impiegato quello utilizzato per scaricare i database come identificativo durante il periodo di
osservazione. Si è ottenuta perciò una prima stima del numero di controller coinvolti, 1162, identificati per
la maggior parte da nomi di dominio.
Si è notato nell’articolo che era possibile ottenere uno stesso database contattando due o più controller
diversi. Ciò è dovuto al fatto che uno stub può essere compilato dallo stesso operatore con configurazioni, e
quindi elenchi di nomi di dominio o indirizzi IP, molteplici. Quindi, per determinare più precisamente il
numero di controller operativi i ricercatori hanno elaborato una nuova tecnica basata su una proprietà della
tabella delle vittime.
Se ogni volta che un database viene scaricato si controlla questa tabella, è possibile osservare le eventuali
nuove vittime aggiunte in fondo all’elenco. Un database ottenuto in precedenza dallo stesso controller avrà
una tabella prefisso della nuova e conterrà una riga a rappresentare lo stub fittizio dei ricercatori. Quindi, è
stato possibile identificare ogni controller come l’unico con quel database ed elenco di vittime
indipendentemente dal modo utilizzato per contattarlo. Sono 1029 i controller coinvolti nello studio.
5. 5
È stato possibile costruire un albero genealogico dei database: ogni nodo rappresenta un database, e può
avere un genitore ed un figlio secondo la proprietà appena vista o più figli per la presenza di hack pack. Il caso
in cui si hanno più figli si verifica quando due o più operatori iniziano la loro attività da un medesimo hack
pack, e quindi uno stesso database di vittime, apparendo come delle ramificazioni nell’albero genealogico.
Se per un punto di ramificazione si notava l’assenza nei database in possesso del genitore corrispondente,
questo veniva dedotto come esistente ed aggiunto.
Dall’albero genealogico risulta evidente come gli operatori che vogliano iniziare ad utilizzare DarkComet
abbiano poche possibilità di scaricare software controller, principalmente nella forma di hack pack.
Un altro tipo di diramazione può avvenire quando il controller ritorna ad una versione precedente di un
database, segno che l’operatore utilizza una macchina virtuale che viene ripristinata ad uno snapshot o stato
precedente. In questo caso non può esistere più di un database figlio e, contattando lo stesso controller si
possono ottenere versioni precedenti di un database.
Determinazione delle vittime
In seguito i ricercatori hanno effettuato un lavoro di analisi delle 477292 vittime registrate all’interno dei
database ed identificate per mezzo del codice univoco nella tabella delle vittime. Una parte di esse infatti è
dovuta all’uso di scanner e sandbox da parte di altri soggetti come ricercatori e produttori di software anti
malware. Un sandbox è un meccanismo di sicurezza utilizzato per eseguire programmi sospetti, in questo
caso istanze di DarkComet, in un ambiente controllato e separato8
.
Per capire quali vittime fossero effettivamente reali o meno hanno utilizzato regole già definite in
precedenza in altri studi, come attributi invalidi o vuoti nelle tabelle e la rilevazione di righe attribuibili a
presunti scanner.
In aggiunta a questi criteri ne hanno introdotti di nuovi, grazie a metadati, o dati relativi ai dati delle
vittime9
, in loro possesso. Per ogni vittima per esempio è stato controllato se ci fosse un certo quantitativo
di tasti premuti lungo un numero di giorni attribuibile ad una persona vera. Si è tenuto conto anche della
validità delle date dei giorni registrati. Le vittime che figuravano negli hack pack in possesso o dedotti dai
ricercatori sono state considerate a parte da quelle infettate dai singoli operatori. Anche qui si è verificata la
presenza di eventuali anomalie. Alla fine, 57805 vittime sono state effettivamente infettate.
Analisi dei controller e delle vittime
I controller coinvolti nello studio infettavano collettivamente 69 nuove vittime al giorno nel periodo di
osservazione. Un’analisi della tabella dei gruppi denota un certo interesse ad infettare i dispositivi di persone
specifiche, con l’intento ad esempio di richiedere forzatamente favori sessuali.
Emergono due categorie di operatori, chi possiede un numero elevato di vittime in tutto il mondo e chi
ne possiede poche, la maggior parte delle quali sono nella stessa area geografica dell’operatore. Il periodo di
attività, ed il numero di vittime inoltre aumentano se un operatore inizia con un hack pack. In Italia sono state
osservate 905 vittime e 19 controller, responsabili dell’infezione di 2678 persone in tutto il mondo.
Per alcune vittime sono stati raccolti metadati aggiuntivi, come il numero di tasti premuti ed il tempo
speso in ogni finestra. Da queste informazioni ed i nomi delle finestre attive è emerso come gli operatori
siano riusciti ad ottenere informazioni sensibili come email, conversazioni private, credenziali per l’accesso a
siti e servizi ed infine numeri di carta di credito. Per questo sotto insieme di vittime, per 162098 ore è stato
monitorato ogni singolo tasto premuto. Con i file di configurazione ottenuti invece, è stato possibile
determinare che 13269 persone sono state spiate attraverso le loro webcam.
6. 6
Risultati
Per poter combattere questo fenomeno al meglio gli autori hanno indicato alcuni criteri utili. Le forze
dell’ordine possono scegliere di dare priorità ad operatori responsabili di un elevato numero di vittime o che
ne acquisiscono di nuove molto rapidamente, ad esempio. Anche il periodo di attività di determinati
controller può servire per potersi concentrare sugli operatori più attivi e dannosi.
Inoltre, grazie all’analisi dell’albero genealogico è possibile identificare gli operatori che utilizzano hack
pack, ma anche coloro che li distribuiscono. In questo modo è possibile andare ad infliggere un danno
importante alla distribuzione stessa di software controller DarkComet.
I ricercatori hanno comunicato agli Internet Service Provider l’elenco di vittime da loro osservato. Il lavoro
di determinazione delle vittime effettive ha consentito agli ISP di notificare più efficientemente i loro clienti
della presenza di RAT sui loro dispositivi. Le tecniche utilizzate per l’analisi delle tabelle delle vittime possono
essere utili in altri contesti, come ad esempio con dati ottenuti dopo arresti o perquisizioni.
Lo studio presentava alcune limitazioni: una tra tutte è che da una parte consistente dei controller si è
ottenuto solo un database e buona parte è stata osservata per un periodo di tempo ristretto.
Tuttavia, il lavoro presentato, sebbene relativo a DarkComet, può essere esteso ad altre tipologie di RAT.
Infatti altre tipologie di trojan ad accesso remoto utilizzano database relazionali per tenere traccia delle
vittime. Un altro punto in comune può essere la funzionalità di download di qualsiasi file utilizzata per
ottenere i dati. In certi casi, le possibilità di download sono limitate, ma è possibile utilizzare come fonti di
database gli hack packs con cui vengono distribuiti questi particolari tipi di RAT.
7. 7
Bibliografia e Sitografia
1
Dark Matter: Uncovering the DarkComet RAT Ecosystem. Brown Farinholt, Mohammad Rezaeirad, Damon
McCoy, and Kirill Levchenko. In Proceedings of TheWeb Conference 2020 (WWW’20), April 20–24, 2020,
Taipei, Taiwan. Pages 2109–2120.
2
https://en.wikipedia.org/wiki/Trojan_horse_(computing)
3
https://malwareconfig.com/about ; https://www.virustotal.com/gui/ ; https://www.reversinglabs.com/
4
https://malware-hunter.shodan.io/
5
https://it.wikipedia.org/wiki/Dynamic_DNS
6
https://it.wikipedia.org/wiki/Port_scanning
7
https://en.wikipedia.org/wiki/Denial-of-service_attack
8
https://en.wikipedia.org/wiki/Sandbox_(computer_security)
9
https://en.wikipedia.org/wiki/Metadata