Xakep #305. Многошаговые SQL-инъекции
Специалисты Shodan и Recorded Future объединились, и результатом данной коллаборации стал новый инструмент, получивший название Malware Hunter, интегрированный прямо в поисковик. Он позволяет опознавать и находить управляющие серверы различной малвари. Инструмент должен пригодиться ИБ-специалистам, ведь он позволяет обнаруживать новые С&C-серверы даже до того, как был найден образчик самого вредоноса.
Malware Hunter работает через специальные краулеры, которые и ищут управляющие серверы в интернете. К любому IP-адресу в сети эти боты обращаются как к потенциальному C&C-серверу, при этом имитируя своими запросами поведение устройств, зараженных различной малварью. Если компьютер реагирует на такую проверку и принимает краулера Malware Hunter за одного из своих ботов, IP-адрес командного сервера протоколируется и становится доступен через Shodan.
Всю техническую информацию, необходимую для такой мимикрии, предоставляет компания Recorded Future, о чем специалисты фирмы подробно рассказали на страницах посвященного данной инициативе отчета (PDF). Shodan, в свою очередь, обеспечивает быстрый и эффективный опрос IP-адресов различных устройств в интернете.
В настоящее время Malware Hunter успешно обнаруживает управляющие серверы различных RAT (Remote Access Trojan), таких как Dark Comet, njRAT, Poison Ivy, Ghost RAT и так далее. Новый инструмент уже сумел идентифицировать более 5700 C&C-серверов по всему миру. Больше всего серверов было найдено в США (72%), Гонконге (12%) и Китае (5,2%).
Чтобы просмотреть результаты работы Malware Hunter, нужно обратиться к Shodan с запросом «category:malware», без кавычек. Разработчики Malware Hunter пишут, что в будущем функциональность инструмента будет расширяться, чтобы он мог также эффективно обнаруживать и другие угрозы, включая спайварь, майнеры криптовалют, DDoS-малварь и так далее.