Malware Hunter is de naam van een nieuw instrument gecreëerd door bedreigingen bedrijf Recorded Future en Shodan, de zoekmachine voor het internet van de dingen apparaten. De tool is in feite een online crawler ontworpen om de communicatie tussen malware en Command and Control servers blokkeren.
malware Hunter: Wat is het en hoe werkt het?
Malware Hunter scant continu het internet met als doel het opsporen van bedieningspanelen voor meer dan 10 remote access Trojans (RAT), zoals Gh0st RAT, DarkComet, njRAT, ZeroAccess en XtremeRAT.
Met andere woorden, de tool “een gespecialiseerde Shodan crawler die het Internet verkent op zoek naar commando & controle (c2s) servers voor botnets.”De tool doet dit door te doen alsof worden een besmette cliënt terug naar het commandocentrum rapportage & control server.
Omdat de onderzoekers niet echt weet waar die servers zich bevinden, de tool is ontworpen om verslag uit te brengen elke IP op het internet “alsof de doel IP is een C2". Een positieve reactie van de IP betekent dat het inderdaad een C2.
Verwant: Veiligheid Tips voor het configureren ivd Devices
Zover, Malware Hunter heeft meer dan geïdentificeerd 5,700 RAT servers. belangwekkend, over 4,000 van hen zijn te vinden in de U.S. Het hoogste aantal bedieningspanelen werd geassocieerd met Gh0st RAT.
onderzoekers hebben geschetst de mogelijkheden van deze RAT. Ghost kan:
-Neem de volledige controle over het externe scherm op de geïnfecteerde bot.
-Zorg voor real-time als offline die toetsaanslagen vastleggen.
-Zorg voor live feed van webcam, microfoon van de geïnfecteerde gastheer.
-Download remote binaries op de geïnfecteerde remote host.
-Neem de controle van afsluiten en opnieuw opstarten van de gastheer op afstand.
-Uitschakelen geïnfecteerde computer aanwijzer op afstand en toetsenbordinvoer.
-Aangaan shell op afstand geïnfecteerde gastheer met volledige controle.
-Geef een lijst van alle actieve processen.
-Verwijder alle bestaande SSDT van alle bestaande haken.
Laten we terug naar Malware Hunter. De crawler wordt in real time bijgewerkt, Dit betekent dat beveiligingsbedrijven en onafhankelijke onderzoekers kan gebruiken in firewalls. Het kan ook op andere beveiligingsproducten worden toegevoegd met als doel het blokkeren van kwaadaardig verkeer. In feite, blokkeren van het verkeer op deze C2 servers op netwerkniveau is niet genoeg omdat het niet kan voorkomen dat aanvallers toegang krijgen tot geïnfecteerde systemen.
Verwant: Tools die nodig zijn om de veiligheid van ivd Devices te verbeteren
Wat betreft het verkeer handtekeningen gebruikt om de C2-servers te identificeren, de functie is gebaseerd op onderzoek van Recorded Future uitgevoerd.
Een nadeel van crawlers handelen als geïnfecteerde computers is dat tijdens het scannen van het hele internet, false positives kan worden veroorzaakt op beveiligingssystemen gebruikers.
Als u geïnteresseerd bent, leest u meer over Malware Hunter weten op zijn officiële website.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: