Shodan跟威胁情报公司Recorded Future搞了一个恶意软件猎手 爬虫能扫描僵尸网络C&C服务器

“ 恶意软件捕手 ” (Malware Hunter)计划将帮助研究人员与公司保护自己的设备免受恶意软件感染。 威胁情报公司Recorded Future与互联网搜索引擎连接服务提供商Shodan携手开发了一款在线爬虫工具,并将其命名为“恶意软件猎手”。

用途

恶意软件猎手是一款软件程序,它会模仿木马向控制与命令(C&C)中心发送信号。若发送这种信号后从接收计算机处收到响应,则认为这些计算机为C&C服务器。爬虫主要做的事是搜捕远程管理工具(RAT)控制中心,这些中心在用户的摄像头开始录制视频或音频时会影响相关网络摄像头系统。

工作机制

为识别C&C中心,工具持续扫描互联网论坛非法出售的各种远程访问木马(RAT)程序。作为木马程序控制面板的服务器会实时更新,因此,研究人员、安全专家及其他有关各方可利用这些信息构筑防火墙和安全特性以拦截这些程序。

“ 恶意软件猎手是 Shodan 出品的一款专业爬虫 , 用以搜索互联网 , 找出僵尸网络的 C&C 服务器。为此目的,它伪装成受感染客户端,向特定C&C服务器上报信息。 

跟其他安全产品一样 误报是个问题

根据反馈,目前遇到的一个问题是恶意软件捕手扫描潜在C&C服务器时,用户的安全系统会有误报。不过,参与开发该工具的一位研发人员表示,系统告警是因为工具当时在检测入流量而不是出流量。

到目前为止,恶意软件捕手已识别5700台RAT服务器,这些服务器大多存在Gh0st RAT木马。Gh0st RAT是一款中国人开发的恶意软件,从2009年起一直用于各种网络犯罪。

恶意软件猎手与VirusTotal对比

根据相关开发者所说,恶意软件猎手意在成为最强大的在线爬虫。因此,人们将它与VirusTotal进行了比较,后者为谷歌开发的恶意软件汇总平台。

对恶意软件捕手进行了测试,测试内容是它自2015年起一直进行的扫描。结果,它识别出了633台RAT控制器。将这个结果与VirusTotal对比,发现后者仅列举了其中153台控制器。

这表明恶意软件猎手可在威胁提交给VirusTotal之前就将其识别出来。恶意软件猎手确实是一款强大的程序,可有效扫描出RAT控制中心。不过,尚无法知晓安全研究人员和防火墙开发人员是否会拦截用该工具识别出来的控制中心。

原文发布时间:2017年5月4日 

本文由:hackread 发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/shodan-recorded-future-malware-hunter

时间: 2024-11-02 00:20:31

Shodan跟威胁情报公司Recorded Future搞了一个恶意软件猎手 爬虫能扫描僵尸网络C&C服务器的相关文章

RSA 2016现场寻找值得关注的十大威胁情报公司

还记得去年RSA大会上最热的词是什么?其中当然少不了威胁情报(Threat Intelligence).威胁情报立足于攻击者的视角,依靠其广泛的可见性以及对整个互联网风险及威胁的全面理解,帮助我们更好的了解威胁,包括:可能的攻击目标.使用工具.方法以及所掌握的传输武器的互联网基础设施情况等,使遇到威胁时能够准确.高效的采取行动. 为期5天的RSA 2016大会已于当地时间2月29日在美国旧金山召开,威胁情报依然是被热议的话题.小编根据各加公司的规模,专注方向,提供的服务内容和服务质量,特地整理出

RSA2016值得关注的十大威胁情报公司

在万物互联的当今时代,攻击入口无处不在,单纯基于漏洞或者关键资产的防御方式早已力不能及.因此,企业想要安全的开展公司业务,就必须采取更加全面.高效的防御方式.威胁情报的出现弥补了这一不足,为传统防御方式带来了有效补充.威胁情报立足于攻击者的视角,依靠其广泛的可见性以及对整个互联网风险及威胁的全面理解,帮助我们更好的了解威胁,包括:可能的攻击目标.使用工具.方法以及所掌握的传输武器的互联网基础设施情况等,使遇到威胁时能够准确.高效的采取行动. 全球信息安全峰会RSA于本月29日在美国旧金山召开,

这家威胁情报公司想打败Palantir和IBM

信誉管理.客户情报.网络安全--所有这一切,数据知道. 没有哪家英国初创公司会比位于切尔滕纳姆的数据情报公司Ripjar更低调的了.该公司在2015年纳入埃森哲旗下金融科技创新实验室之时就已位列英国初创公司名录之上了.但直到最近,就算想谷歌搜索一下该公司主页,却仍旧搜不到除了其推特简介之外的内容. 作为一家公司,想躲过谷歌搜索是很难的.能达到这种非凡的效果,要么是web管理员过劳眼瞎了,要么就是诡异地不想太快为人所知. Ripjar的主页自然是存在的,而且还很有趣.与新公司略杂乱的简单网站大不相

快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者.ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁.消除误报,形成主动.智能的防御体系.小编带您一起具体了解下这份报告的内容. 1. 从SIEM的本质出发,它是用来做什么的?有哪些局限? 安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息

新型威胁:公司内部人员与黑客勾结,出售敏感信息

本文讲的是新型威胁:公司内部人员与黑客勾结,出售敏感信息, 古语有云:日防夜防,家贼难防.外部攻击固然可怕,但总有办法可以防护:内部威胁如同一颗隐藏的地雷,没人知道它处在何处,所以就无从防护. 对于企业来说,内鬼犹如梦魇,可能会对公司造成致命性的伤害.一般的企业不会对自己内部员工设置很大的限制,他们可以随意访问很多信息,这是外部人员不能具备的优势.所以内部员工有着得天独厚的优势搜集.泄露.贩卖公司信息,由此可能对公司造成巨大损失. 公司内部人员向黑客出售公司机密数据 Dark Web Marke

CS 3:威胁情报解决方案峰会——数据是威胁情报的基础

"威胁情报"可谓是安全圈儿里最近当之无愧的热词.在刚刚落下帷幕的安全界盛会RSA大会上,大会主席阿米特·约伦(Amit Yoran)发表主题演讲,认为"未来安全防御应该增加在安全检测技术上的投资."作为提升安全检测能力重要手段的威胁情报,其重要性不言而喻. 由安全牛举办的"CS 3:威胁情报解决方案峰会"吸引了360.IBM.谷安天下.微步在线.白帽汇,这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司到场.据安全牛主编 李少鹏 介绍,C

威胁情报成熟度模型

本文讲的是 威胁情报成熟度模型,衡量一个公司的安全能力有两个关键标准.其一是平均检测时间(MTTD:Mean-Time-to-Detect),这是公司发现一个真正有风险的威胁所用的平均时间,其中包含了更进一步的分析和响应.其二是平均响应时间(MTTR:Mean-Time-to-Respond),也就是公司全面分析威胁并平息任何可能的风险所用的平均时间. "很多公司的运营中,MTTD和MTTR可高达数周或数月之久."威胁情报企业LogRhythm首席技术官克里斯·彼得森彼得森说认为,已经

这家以色列公司以视觉化故事线的形式展示威胁情报

Siemplify公司是一家安全初创企业,它近期为以色列国防军开发了一个威胁情报平台的技术基础.以下是可以从中得到的经验. Siemplify的技术设计目的在于将企业网络上完全不同的安全技术整合在一起,并通过上下文进行研究,比如反恶意软件.入侵检测系统.防火墙等.该公司的平台功能类似于一个集线器,将机构当前使用的安全.威胁情报和风险管理工具,如Splunk等流行的SIEMs(Security Information and Event Eanagement Systems, 安全信息和事件管理系

浅读Gartner威胁情报市场指南:谁在同台竞技?

自2014年Gartner首次提出"自适应安全"概念以来,这家全球最早也最权威的信息化咨询研究机构已经是第四年在发布的报告中强调以预测.防护.检测.响应四个阶段组成的自适应安全体系.而在第四年,Gartner终于首次发布了<威胁情报市场指南>,全球近50家公司榜上有名. 对于IT信息化较为成熟的领域,Gartner会发布魔力象限报告,而对于尚处蓝海.潜力较大.产品和市场都处于快速发展中的细分领域,Gartner则会发布相应的市场指南报告.此次威胁情报市场指南发布,或许意味着