“ 恶意软件捕手 ” (Malware Hunter)计划将帮助研究人员与公司保护自己的设备免受恶意软件感染。 威胁情报公司Recorded Future与互联网搜索引擎连接服务提供商Shodan携手开发了一款在线爬虫工具,并将其命名为“恶意软件猎手”。
用途
恶意软件猎手是一款软件程序,它会模仿木马向控制与命令(C&C)中心发送信号。若发送这种信号后从接收计算机处收到响应,则认为这些计算机为C&C服务器。爬虫主要做的事是搜捕远程管理工具(RAT)控制中心,这些中心在用户的摄像头开始录制视频或音频时会影响相关网络摄像头系统。
工作机制
为识别C&C中心,工具持续扫描互联网论坛非法出售的各种远程访问木马(RAT)程序。作为木马程序控制面板的服务器会实时更新,因此,研究人员、安全专家及其他有关各方可利用这些信息构筑防火墙和安全特性以拦截这些程序。
“ 恶意软件猎手是 Shodan 出品的一款专业爬虫 , 用以搜索互联网 , 找出僵尸网络的 C&C 服务器。为此目的,它伪装成受感染客户端,向特定C&C服务器上报信息。 ”
跟其他安全产品一样 误报是个问题
根据反馈,目前遇到的一个问题是恶意软件捕手扫描潜在C&C服务器时,用户的安全系统会有误报。不过,参与开发该工具的一位研发人员表示,系统告警是因为工具当时在检测入流量而不是出流量。
到目前为止,恶意软件捕手已识别5700台RAT服务器,这些服务器大多存在Gh0st RAT木马。Gh0st RAT是一款中国人开发的恶意软件,从2009年起一直用于各种网络犯罪。
恶意软件猎手与VirusTotal对比
根据相关开发者所说,恶意软件猎手意在成为最强大的在线爬虫。因此,人们将它与VirusTotal进行了比较,后者为谷歌开发的恶意软件汇总平台。
对恶意软件捕手进行了测试,测试内容是它自2015年起一直进行的扫描。结果,它识别出了633台RAT控制器。将这个结果与VirusTotal对比,发现后者仅列举了其中153台控制器。
这表明恶意软件猎手可在威胁提交给VirusTotal之前就将其识别出来。恶意软件猎手确实是一款强大的程序,可有效扫描出RAT控制中心。不过,尚无法知晓安全研究人员和防火墙开发人员是否会拦截用该工具识别出来的控制中心。
原文发布时间:2017年5月4日
本文由:hackread 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/shodan-recorded-future-malware-hunter