El malware Hunter es el nombre de una marca nueva herramienta creada por la compañía de inteligencia de amenazas Recorded Future y Shodan, el motor de búsqueda de dispositivos IO. La herramienta es de hecho un rastreador en línea diseñado para bloquear las comunicaciones entre el malware y el mando y control de servidores.
El malware Hunter: ¿Qué es y cómo funciona?
El malware Hunter explora continuamente Internet con el fin de localizar los paneles de control durante más de 10 troyanos de acceso remoto (RAT), tales como Gh0st RAT, DarkComet, njRAT, ZeroAccess y XtremeRAT.
En otras palabras, la herramienta es “un rastreador Shodan especializado que explora el Internet en busca de comandos & control (c2s) servidores para redes de bots.”La herramienta hace simulando ser un cliente infectado informar al comando & servidor de control.
Debido a que los investigadores no se sabe muy bien donde se encuentran los servidores, La herramienta está diseñada para informar a todos los IP en Internet “como si el IP de destino es un C2". Una respuesta positiva del IP significa que es de hecho un C2.
Relacionado: Consejos de seguridad para dispositivos IO Configuración
Hasta aquí, El malware Hunter ha identificado más de 5,700 servidores RAT. Curiosamente, por encima 4,000 de ellos se encuentran en la U.S. El mayor número de paneles de control se asoció con Gh0st RAT.
Los investigadores tienen esbozado las capacidades de este RAT. Fantasma es capaz de:
-Tomar el control total de la pantalla remota en el bot infectado.
-Proporcionar tiempo real, así como registro de pulsaciones sin conexión.
-Proporcionar transmisión en vivo de cámaras, micrófono del huésped infectado.
-Descargar los binarios remotos en el host remoto infectado.
-Toma el control de apagado remoto y reinicio del anfitrión.
-Desactivar el puntero remoto del ordenador infectado y la entrada de teclado.
-Entrar en la cáscara del huésped infectado a distancia con un control total.
-Proporcionar una lista de todos los procesos activos.
-Borrar todos SSDT existente de todos los ganchos existentes.
Volvamos a malware Hunter. El rastreador se actualiza en tiempo real, lo que significa que las empresas de seguridad y los investigadores independientes pueden utilizar en los cortafuegos. También se puede añadir a otros productos de seguridad con el fin de bloquear el tráfico malicioso. De hecho, bloqueando el tráfico a estos servidores de C2 a nivel de red no es suficiente, ya que no se puede evitar que los atacantes tengan acceso a los sistemas infectados.
Relacionado: Las herramientas necesarias para mejorar la seguridad de los dispositivos IO
En cuanto a las firmas de tráfico utilizados para identificar los servidores C2, la herramienta se basa en la investigación llevada a cabo por Recorded Future.
Una desventaja de los rastreadores que actúan como ordenadores infectados es que durante la exploración de la totalidad de Internet, falsos positivos podrían activarse en sistemas de seguridad de los usuarios.
Si te interesa, usted puede aprender más acerca de malware Hunter en su oficial sitio web.