本文讲的是Shodan搜索引擎开始披露恶意软件控制服务器,公司企业和安全厂商都能利用该Malware Hunter( 恶意软件猎手 )服务快速封锁通往恶意软件服务器的流量。
恶意软件程序的命令与控制(C2)服务器经常变,其间通信防不胜防,如今,这款新工具的帮助下,公司企业快速封堵恶意软件通信不再棘手。
威胁情报公司 Recorded Future 与联网设备及服务搜索引擎Shodan合作,推出了一款新的网络爬虫,名为 Malware Hunter。
该新服务持续搜索互联网,查找10种以上的远程访问木马(RAT)程序所用的控制面板,包括 Gh0st RAT、DarkComet、njRAT、ZeroAccess和XtremeRAT。这些都是地下论坛上售卖的商业恶意软件工具,往往被网络罪犯用来取得目标计算机的完全控制权。
为识别C2服务器,Malware Hunter 爬虫连接到公共IP地址,发送这些木马程序发往其控制面板的副本流量。如果接收计算机发回特定响应,就会被标记为C2服务器。
目前为止,Malware Hunter 已经识别出超过5700台RAT服务器,其中4000多台位于美国。发现的控制面板中,数量最多的,是源于中国的 Gh0st RAT 恶意程序所用的。Gh0st RAT 2009年面世,被用于针对性网络间谍攻击。
Malware Hunter 产生的C2列表实时更新,因此,安全厂商、公司企业,甚至独立研究员都可以将之用在防火墙和其他安全产品中,封堵恶意流量。
网络级封堵通往这些C2服务器的流量,可以防止攻击者滥用受感染计算机或盗取数据。这比干等安全公司发现新的RAT样本,再从其配置中抽取C2服务器,再添加新的阻止规则,要快多了。
用于识别 RAT C2 服务器的流量特征,基于 Recorded Future 的研究。该公司曾用同样的技术发现恶意服务器,只不过以前是小范围上的识别与发现。
这些爬虫全网扫描时冒充受感染计算机的做法,有一个缺点:过滤入站流量的安全系统会被触发误报。
该服务官网上写道:“ Malware Hunter 不发动攻击,发出的请求不包含任何恶意内容。您的安全产品发出警报的原因,是它使用了只应用于出站流量却被错误应用到入站流量上的一个签名。”