Фильтры сокетов

Злоумышленники могут подключать фильтры к сетевому сокету для мониторинга и последующей активации бэкдоров, используемых для закрепления или организации управления. С повышенными привилегиями злоумышленники могут использовать такие функции, как библиотека `libpcap`, для открытия сокетов и установки фильтров, чтобы разрешить или запретить прохождение определенных типов данных через сокет. Фильтр может применяться ко всему трафику, проходящему через указанный сетевой интерфейс (или через каждый интерфейс, если не указан). Когда сетевой интерфейс получает пакет, соответствующий критериям фильтра, на узле могут быть запущены дополнительные действия, такие как активация обратной оболочки. Для установления соединения злоумышленник отправляет специально созданный пакет на целевой узел, который соответствует установленным критериям фильтра. Злоумышленники использовали эти фильтры сокетов для запуска установки имплантов, проведения ping-запросов и вызова командных оболочек. Связь с этими фильтрами сокетов также может использоваться в сочетании с Туннелированием протоколов. Фильтры могут быть установлены на любую Unix-подобную платформу с установленным `libpcap` или на узлы Windows с использованием `Winpcap`. Злоумышленники могут использовать либо `libpcap` с `pcap_setfilter`, либо стандартную библиотечную функцию `setsockopt` с опциями `SO_ATTACH_FILTER`. Поскольку соединение сокета неактивно до получения пакета, это поведение может быть трудно обнаружить из-за отсутствия активности на узле, низкой нагрузки на процессор и ограниченной видимости использования необработанных сокетов.