Malware Hunter è il nome di un nuovo strumento creato dalla società di informazioni sulle minacce Registrato Futuro e Shodan, il motore di ricerca per i dispositivi IoT. Lo strumento è infatti un crawler online progettato per bloccare le comunicazioni tra i server di controllo malware e comando e.
Malware Hunter: Che cosa è e come funziona?
Malware Hunter analizza continuamente Internet con lo scopo di localizzare i pannelli di controllo per più di 10 Trojan di accesso remoto (RAT), come Gh0st RAT, DarkComet, njRAT, ZeroAccess e XtremeRAT.
In altre parole, lo strumento è “un cingolato Shodan specializzato che esplora Internet alla ricerca di comando & controllo (C2S) server per la botnet.”Lo strumento lo fa fingendo di essere un client infetti riferire al comando & server di controllo.
Perché i ricercatori non sanno dove si trovano i server, lo strumento è progettato per riferire ad ogni IP su Internet “come se l'IP di destinazione è un C2". Una risposta positiva da IP significa che è davvero una C2.
Correlata: Punte di sicurezza per i dispositivi Configurazione IoT
Finora, Malware Hunter ha identificato più di 5,700 server RAT. È interessante notare che, sopra 4,000 di loro si trovano nel U.S.. Il maggior numero di pannelli di controllo è stata associata con Gh0st RAT.
I ricercatori hanno delineato le funzionalità di questo RAT. Fantasma è in grado di:
-Prendere il pieno controllo dello schermo remoto sul bot infetto.
-Fornire tempo reale, nonché in linea la registrazione dei tasti.
-Fornire live feed di webcam, microfono di host infetto.
-Scarica file binari remoti sulla macchina remota infetto.
-Prendi il controllo di arresto remoto e riavvio di accoglienza.
-Disabilitare computer infetto puntatore remoto e della tastiera.
-Entra nella shell dell'host infetto a distanza con il pieno controllo.
-Fornire un elenco di tutti i processi attivi.
-Cancellare tutto esistente SSDT di tutti i ganci esistenti.
Torniamo al malware Hunter. Il crawler viene aggiornato in tempo reale, il che significa che le società di sicurezza e ricercatori indipendenti possono usarlo nei firewall. Può anche essere aggiunto ad altri prodotti di sicurezza con lo scopo di bloccare traffico dannoso. Infatti, bloccando il traffico a questi server C2 a livello di rete non è sufficiente in quanto non può evitare che un intruso di ottenere l'accesso ai sistemi infetti.
Correlata: Gli strumenti necessari per migliorare la sicurezza dei dispositivi IoT
Per quanto riguarda le firme di traffico utilizzati per identificare i server C2, lo strumento si basa su ricerche effettuate da Future Recorded.
Uno svantaggio dei cingoli che agiscono come i computer infetti è che durante la scansione l'intera Internet, falsi positivi potrebbero essere attivati sui sistemi di sicurezza degli utenti.
Se interessati, si può imparare di più su Malware Hunter sul suo ufficiale sito web.