流量信号

对手可能会使用流量信号来隐藏用于持久性或命令和控制的开放端口或其他恶意功能。流量信号涉及发送一个魔法值或序列到系统以触发特殊响应，例如打开关闭的端口或执行恶意任务。这可能采取发送具有某些特征的一系列数据包的形式，然后端口将被打开供对手使用命令和控制。通常，这些数据包序列包括尝试连接到预定义序列的关闭端口（即端口敲击），但也可以涉及不寻常的标志、特定字符串或其他独特特征。在序列完成后，打开端口可以通过基于主机的防火墙实现，但也可以通过自定义软件实现。 对手还可能与已经打开的端口通信，但监听该端口的服务只有在传递适当的魔法值时才会响应命令或触发其他恶意功能。 观察触发通信的信号数据包可以通过不同的方法进行。一种方法，最初由 Cd00r 实现 (引用: Hartrell cd00r 2002)，是使用 libpcap 库来嗅探相关数据包。另一种方法利用原始套接字，使恶意软件能够使用其他程序已经打开的端口。 在网络设备上，对手可能会使用精心制作的数据包来启用网络设备身份验证以用于设备提供的标准服务，例如 telnet。此类信号还可以用于打开关闭的服务端口，例如 telnet，或触发恶意软件植入物上的模块修改，添加、删除或更改恶意功能。对手可能会使用精心制作的数据包尝试连接到一个或多个（打开或关闭的）端口，但也可能尝试连接到路由器接口、广播和网络地址 IP 上的相同端口以实现其目标和目的。(引用: Cisco Synful Knock Evolution)(引用: Mandiant - Synful Knock)(引用: Cisco Blog Legacy Device Attacks) 要在嵌入式设备上启用此流量信号，对手必须首先实现并利用补丁系统映像，因为架构的单片性质。 对手还可能使用 Wake-on-LAN 功能来打开已关闭的系统。Wake-on-LAN 是一种硬件功能，允许通过发送魔法数据包来打开或唤醒已关闭的系统。一旦系统打开，它可能成为横向移动的目标。(引用: Bleeping Computer - Ryuk WoL)(引用: AMD Magic Packet)