Специалисты Shodan и Recorded Future объединились, и результатом данной коллаборации стал новый инструмент, получивший название Malware Hunter, интегрированный прямо в поисковик. Он позволяет опознавать и находить управляющие серверы различной малвари. Инструмент должен пригодиться ИБ-специалистам, ведь он позволяет обнаруживать новые С&C-серверы даже до того, как был найден образчик самого вредоноса.

Malware Hunter работает через специальные краулеры, которые и ищут управляющие серверы в интернете. К любому IP-адресу в сети эти боты обращаются как к потенциальному C&C-серверу, при этом имитируя своими запросами поведение устройств, зараженных различной малварью. Если компьютер реагирует на такую проверку и принимает краулера Malware Hunter за одного из своих ботов, IP-адрес командного сервера протоколируется и становится доступен через Shodan.

Всю техническую информацию, необходимую для такой мимикрии, предоставляет компания Recorded Future, о чем специалисты фирмы подробно рассказали на страницах посвященного данной инициативе отчета (PDF). Shodan, в свою очередь, обеспечивает быстрый и эффективный опрос IP-адресов различных устройств в интернете.

В настоящее время Malware Hunter успешно обнаруживает управляющие серверы различных RAT (Remote Access Trojan), таких как Dark Comet, njRAT, Poison Ivy, Ghost RAT и так далее. Новый инструмент уже сумел идентифицировать более 5700 C&C-серверов по всему миру. Больше всего серверов было найдено в США (72%), Гонконге (12%) и Китае (5,2%).

Чтобы просмотреть результаты работы Malware Hunter, нужно обратиться к Shodan с запросом «category:malware», без кавычек. Разработчики Malware Hunter пишут, что в будущем функциональность инструмента будет расширяться, чтобы он мог также эффективно обнаруживать и другие угрозы, включая спайварь, майнеры криптовалют, DDoS-малварь и так далее.

 

2 комментария

  1. m1kserok

    04.05.2017 at 15:55

    >позволяет обнаруживать новые С&C-серверы даже до того, как был найден образчик самого вредоноса
    >К любому IP-адресу в сети эти боты обращаются как к потенциальному C&C-серверу, при этом имитируя своими запросами поведение устройств, зараженных различной малварью.
    Тут явное противоречие потому что не видя сэмпла мальвари не известно какой порт он использует, какой протокол и какое шифрование.

  2. FokcGrief

    04.05.2017 at 19:07

    Интересно а сервер шифровальщика найдётся

Оставить мнение