Algunos empleados de la red en mi trabajo parecen pensar que un cliente que supervisamos puede ser parte de una red de bots, pero el aumento en el tráfico que vemos en la noche siempre se detiene a más tardar alrededor de las 8 am a la hora de que ingresen los empleados de oficina.
Antes de molestar al cliente, me gustaría saber si se sabe que los nodos de la red de bots dejan de funcionar como parte de una red de bots durante las horas de oficina. ¿Se sabe que este tipo de cosas suceden?
Las redes de bots y el malware, especialmente los sofisticados, están diseñados para ser tan sigilosos como un malware. El hecho de que la pieza de malware de la que hablas "deje de funcionar" durante las horas de oficina me hace sospechar que un robot de exfiltración de datos es más que un zombi de propósito general.
El primer ejemplo de malware que me llega es Lazarus / Bluenoroff , se especializó en ataques cibernéticos financieros y donde los atacantes operaron fuera del horario de oficina de acuerdo con el calendario y la zona horaria de la víctima para evitar la detección.
Depende de la botnet, pero es una buena capacidad de la botnet, de esta manera los nodos infectados de la botnet podrían pasar inadvertidos para los usuarios infectados. El mismo efecto estaba sucediendo con los cryptominers.
Tenga en cuenta que el trabajo de un administrador / seguridad es verificar los registros de firewalls, máquinas, etc., para que puedan detectar este tipo de actividad, incluso fuera del horario de oficina.