Malware Hunter est le nom d'un tout nouvel outil créé par la société de renseignement sur les menaces enregistrées avenir et Shodan, le moteur de recherche pour les appareils IdO. L'outil est en fait un robot en ligne conçu pour bloquer les communications entre les logiciels malveillants et de commande et les serveurs de contrôle.
Malware Hunter: Qu'est-ce que c'est et comment est-ce que ça marche?
Malware Hunter scanne en permanence Internet dans le but de localiser les panneaux de contrôle pour plus de 10 chevaux de Troie d'accès à distance (Les rats), comme RAT Gh0st, DarkComet, njRAT, ZeroAccess et XtremeRAT.
En d'autres termes, l'outil est «un robot Shodan spécialisé qui explore l'Internet à la recherche de commande & contrôle (C2S) serveurs pour les réseaux de zombies.» L'outil fait en faisant semblant d'être un reporting client infecté à la commande & serveur de contrôle.
Parce que les chercheurs ne savent pas vraiment où ces serveurs sont situés, l'outil est conçu pour faire rapport à tous les IP sur Internet «comme si l'IP cible est un C2". Une réponse positive de la propriété intellectuelle signifie qu'il est en effet un C2.
en relation: Conseils de sécurité pour les périphériques IdO Configuration
Jusqu'ici, Malware Hunter a identifié plus de 5,700 serveurs RAT. Intéressant, plus de 4,000 d'entre eux se trouvent dans le U.S. Le nombre de panneaux de contrôle le plus élevé a été associé à Gh0st RAT.
Les chercheurs ont décrit les capacités de cette RAT. GHOST est capable de:
-Prenez le contrôle complet de l'écran à distance sur le robot infecté.
-Fournir en temps réel ainsi que l'enregistrement de frappe hors-ligne.
-Fournir flux en direct de la webcam, microphone d'hôte infecté.
-Télécharger les fichiers binaires à distance sur l'hôte distant infecté.
-Prenez le contrôle à distance et d'arrêt redémarrage de l'hôte.
-Désactiver l'ordinateur infecté pointeur à distance et entrée du clavier.
-Entrez dans la coquille d'hôte infecté à distance avec le plein contrôle.
-Fournir une liste de tous les processus actifs.
-Effacer tout SSDT existant de tous les crochets existants.
Retournons à Malware Hunter. Le robot d'exploration est mis à jour en temps réel, ce qui signifie que les entreprises de sécurité et les chercheurs indépendants peuvent l'utiliser dans les pare-feu. Il peut également être ajouté à d'autres produits de sécurité dans le but de bloquer le trafic malveillant. En fait, bloquant le trafic à ces serveurs C2 au niveau du réseau ne suffit pas car il ne peut pas empêcher les attaquants d'avoir accès aux systèmes infectés.
en relation: Les outils nécessaires pour améliorer la sécurité des dispositifs IdO
En ce qui concerne les signatures de trafic utilisées pour identifier les serveurs C2, l'outil repose sur des recherches effectuées par Recorded Future.
Un inconvénient des robots d'exploration qui agissent comme des ordinateurs infectés est que tout en balayant l'ensemble d'Internet, faux positifs pourraient être déclenchées sur les systèmes de sécurité des utilisateurs.
Si tu es interessé, vous pouvez en savoir plus sur les logiciels malveillants Hunter sur son officiel site Internet.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: