“ 惡意軟體捕手 ” (malware hunter)計劃将幫助研究人員與公司保護自己的裝置免受惡意軟體感染。 威脅情報公司recorded future與網際網路搜尋引擎連接配接服務提供商shodan攜手開發了一款線上爬蟲工具,并将其命名為“惡意軟體獵手”。
用途
惡意軟體獵手是一款軟體程式,它會模仿木馬向控制與指令(c&c)中心發送信号。若發送這種信号後從接收計算機處收到響應,則認為這些計算機為c&c伺服器。爬蟲主要做的事是搜捕遠端管理工具(rat)控制中心,這些中心在使用者的攝像頭開始錄制視訊或音頻時會影響相關網絡攝像頭系統。
為識别c&c中心,工具持續掃描網際網路論壇非法出售的各種遠端通路木馬(rat)程式。作為木馬程式控制台的伺服器會實時更新,是以,研究人員、安全專家及其他有關各方可利用這些資訊構築防火牆和安全特性以攔截這些程式。
“ 惡意軟體獵手是 shodan 出品的一款專業爬蟲 , 用以搜尋網際網路 , 找出僵屍網絡的 c&c 伺服器。為此目的,它僞裝成受感染用戶端,向特定c&c伺服器上報資訊。 ”
跟其他安全産品一樣 誤報是個問題
根據回報,目前遇到的一個問題是惡意軟體捕手掃描潛在c&c伺服器時,使用者的安全系統會有誤報。不過,參與開發該工具的一位研發人員表示,系統告警是因為工具當時在檢測入流量而不是出流量。
到目前為止,惡意軟體捕手已識别5700台rat伺服器,這些伺服器大多存在gh0st rat木馬。gh0st rat是一款中國人開發的惡意軟體,從2009年起一直用于各種網絡犯罪。
根據相關開發者所說,惡意軟體獵手意在成為最強大的線上爬蟲。是以,人們将它與virustotal進行了比較,後者為谷歌開發的惡意軟體彙總平台。
對惡意軟體捕手進行了測試,測試内容是它自2015年起一直進行的掃描。結果,它識别出了633台rat控制器。将這個結果與virustotal對比,發現後者僅列舉了其中153台控制器。
這表明惡意軟體獵手可在威脅送出給virustotal之前就将其識别出來。惡意軟體獵手确實是一款強大的程式,可有效掃描出rat控制中心。不過,尚無法知曉安全研究人員和防火牆開發人員是否會攔截用該工具識别出來的控制中心。
原文釋出時間:2017年5月4日
本文由:hackread 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/shodan-recorded-future-malware-hunter
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站