现在有一个新工具,可以允许公司在恶意软件程序和频繁更改的命令和控制服务器之间快速阻止通信。
威胁情报公司记录的未来与Shodan,Shodan,一个用于互联网连接设备和服务的搜索引擎,创建一个名为恶意软件猎人的新的在线爬网。
新服务不断扫描互联网以查找超过十个不同远程访问特洛伊木马(RAT)程序的控制面板,包括GH0ST RAT,DarkComet,NJRAT,Zeroucess和Xtremerat。这些是在地下论坛上销售的商业恶意软件工具,由网络犯罪分子使用,以完全控制受损计算机。
要识别命令和控制(C&C)服务器,恶意软件Hunter Crawler连接到公开Internet协议地址,并发送复制这些特洛伊木马程序将发送到控制面板的流量。如果接收计算机发送备份特定响应,则它们将其“重新标记为C&C服务器。
迄今为止,恶意软件猎人已经确定了超过5,700辆的RAT服务器,其中4,000多个位于美国。自2009年以来,最多的控制面板是针对GH0ST大鼠的恶意软件计划,这是自2009年以来的有针对性的春天攻击。
恶意软件猎人生成的C&C列表实时更新,因此安全供应商,公司甚至独立研究人员可以在防火墙和其他安全产品中使用它来阻止恶意流量。
阻止对网络级别的C&C服务器的流量可以防止攻击者滥用受感染的计算机或窃取数据。这可能比等待安全公司发现新的RAT样本,从它们的配置中提取命令和控制服务器并为它们添加阻塞规则。
用于识别RAT C&C服务器的流量签名基于录制的未来的研究,它使用相同的技术在过去识别恶意服务器,但在较小的规模上。
在扫描整个互联网时伪装为受感染的计算机的爬行器的缺点是它可能会触发过滤传入流量的人员安全系统上的错误正警报。
“恶意软件猎人不会执行任何攻击,并将Don”T的请求包含任何恶意内容,“服务的创建者在其网站上表示。“您的安全产品提出警报的原因是因为它使用的签名只应该用于离开网络的流量(出口)但是被错误地应用于传入的流量(Ingress)。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。