パケットを記録してバックドアを追跡する

これは私が最終的にいくつかの奇妙なIPアドレスを見るだろうという考えで機能しますか？

通常、そうです。マルウェアがアクティブに通信している場合、トラフィックをキャプチャし、最終的にはマルウェアが接続しているサーバーを結論付けることができます（暗号化されていない場合はトラフィックを読み取ります）。

あなたのアプローチの問題は、あなたが何かを発見した場合にのみマルウェアが存在することを確認できることですdo。逆は当てはまりません。バックドアは、任意の時間だけ非アクティブのままになる可能性があります。また、悪意のあるトラフィックをそのように認識していない可能性もあります。

巧妙なバックドアは、他のプロセスが同時に通信している場合にのみトラフィックを送信するように設計できます。たとえば、ウェブを閲覧している場合、読み込まれているすべてのリソースのすべての接続を分析することは非常に困難です。バックドアは、疑わしくないように見えるAWSサーバーでホストされている画像へのリクエストを模倣するだけで、そのリクエストがWebブラウザーとバックドアのどちらから発生したのかを判断するのは困難です。また、マルウェアが一見無関係なプロトコルを使用して検出を回避することも可能です。 DNSまたはICMP。最後に、マルウェア 多くの場合TLSを介して通信します であり、何が起こっているのかについて決定的な結論を得るためにトラフィックを復号化できる必要があります。

したがって、すべてのトラフィックをキャプチャしても、マルウェアがアクティブに通信しており、バックドアによってトラフィックを認識できるという仮定の下でのみ結論が導き出されます。