Malware Hunter er navnet på et helt nyt redskab skabt af trussel intelligens selskab Recorded Future og Shodan, søgemaskinen til tingenes internet-enheder. Værktøjet er i virkeligheden et online crawler designet til at blokere kommunikation mellem malware og kommando og kontrol-servere.
Malware Hunter: Hvad er det og hvordan virker det?
Malware Hunter scanner løbende på internettet med det formål at lokalisere kontrolpaneler for mere end 10 fjernadgang trojanske heste (rotter), såsom Gh0st RAT, DarkComet, njRAT, ZeroAccess og XtremeRAT.
Med andre ord, værktøjet er ”en specialiseret Shodan crawler, der udforsker internettet på udkig efter kommando & kontrollere (C2S) servere til botnets.”Værktøjet gør det ved at foregive at være en inficeret kunderapportering tilbage til kommandoen & kontrol-server.
Fordi forskerne ikke rigtig ved, hvor disse servere er placeret, værktøjet er designet til at rapportere tilbage til hver IP på internettet ”som hvis målet IP er en C2". En positiv reaktion fra IP betyder, at det er faktisk en C2.
Relaterede: Sikkerhed Tips til Konfiguration IoT Devices
Hidtil, Malware Hunter har identificeret mere end 5,700 RAT-servere. Interessant, løbet 4,000 af dem findes i US. Det højeste antal kontrolpaneler var forbundet med Gh0st RAT.
Forskere har skitseret funktionerne i denne RAT. Ghost er i stand til:
-Få fuld kontrol over fjernbetjeningen skærm på den inficerede bot.
-Giv realtid såvel som offline tastetryk skovhugst.
-Giv levende foder af webcam, mikrofon af inficerede vært.
-Hent fjerntliggende binære filer på den inficerede ekstern vært.
-Tag kontrol over remote shutdown og reboot af vært.
-Deaktivere inficeret computer remote pointer og tastatur input.
-Indgå skallen af fjernbetjening inficeret vært med fuld kontrol.
-Opstil en liste over alle de aktive processer.
-Slet alle eksisterende SSDT af alle eksisterende kroge.
Lad os komme tilbage til Malware Hunter. Webcrawleren er opdateret i realtid, hvilket betyder, at sikkerhedsfirmaer og uafhængige forskere kan bruge det i firewalls. Det kan også tilføjes til andre sikkerhedsprodukter med det formål at blokere ondsindet trafik. Faktisk, blokerer trafikken til disse C2 servere på netværket niveau er ikke nok, da det ikke kan forhindre hackere i at få adgang til inficerede systemer.
Relaterede: De nødvendige redskaber til at forbedre sikkerheden på IoT Devices
Med hensyn til de trafikale signaturer, der anvendes til at identificere de C2-servere, værktøjet er afhængig af forskning udført af Optaget Future.
En ulempe ved crawlere, der handler som inficerede computere er, at mens scanne hele internettet, falske positiver kan udløses på brugernes sikkerhedssystemer.
Hvis du er interesseret, du kan lære mere om Malware Hunter på sit officielle internet side.