<div dir="ltr">This has me curious about something.  I remember Alberto&#39;s INFILTRATE 2013 talk about using services like <a href="http://uni.me">uni.me</a> for these sorts of backchannels (video here : <a href="http://infiltratecon.com/albertogarciaillera.html">http://infiltratecon.com/albertogarciaillera.html</a>) but it always seemed to me like using social networks instead has some clear advantages.  Making it look like someone is just obsessively checking reddit, or facebook (over SSL) seems like it would be much less suspicious than giant wacky DNS queries.  Of course my experience in this field is more theoretical than practical, and I wouldn&#39;t have brought it up if I didn&#39;t full comprehend how sophisticated INNUENDO is.  Some friends and I demoed a PoC of a CNC backchannel over myspace back in 2007 at the first Toorcon Seattle.  I&#39;ve seen the idea pop up again multiple times since then, but it never seems to have caught on.  I work in the product security space at the moment rather than anti-malware/pro-malware, so maybe it&#39;s really popular and I just haven&#39;t been paying close enough attention.<div><br></div><div>This leaves me with three possibilities:</div><div><br></div><div>1. &quot;DNS still works fine, so why go to all the effort to make sneakier backchannels?&quot;</div><div>2. &quot;Of course INNUENDO supports social network backchannels.&quot;</div><div>3. &quot;Social network backchannels are a stupid idea and you don&#39;t know what you&#39;re talking about.&quot;</div><div><br></div><div>My money is on #3, but I&#39;m not sure why.  Maybe someone in dailydave land might finally be able to explain this to me?  I can&#39;t image a better audience for this sort of question.</div><div><br></div><div>  - DEAN</div></div>