Shodan搜索引擎开始披露恶意软件控制服务器

简介: 本文讲的是Shodan搜索引擎开始披露恶意软件控制服务器,公司企业和安全厂商都能利用该Malware Hunter( 恶意软件猎手 )服务快速封锁通往恶意软件服务器的流量。

本文讲的是Shodan搜索引擎开始披露恶意软件控制服务器,公司企业和安全厂商都能利用该Malware Hunter( 恶意软件猎手 )服务快速封锁通往恶意软件服务器的流量。

image

恶意软件程序的命令与控制(C2)服务器经常变,其间通信防不胜防,如今,这款新工具的帮助下,公司企业快速封堵恶意软件通信不再棘手。

威胁情报公司 Recorded Future 与联网设备及服务搜索引擎Shodan合作,推出了一款新的网络爬虫,名为 Malware Hunter。

该新服务持续搜索互联网,查找10种以上的远程访问木马(RAT)程序所用的控制面板,包括 Gh0st RAT、DarkComet、njRAT、ZeroAccess和XtremeRAT。这些都是地下论坛上售卖的商业恶意软件工具,往往被网络罪犯用来取得目标计算机的完全控制权。

为识别C2服务器,Malware Hunter 爬虫连接到公共IP地址,发送这些木马程序发往其控制面板的副本流量。如果接收计算机发回特定响应,就会被标记为C2服务器。
目前为止,Malware Hunter 已经识别出超过5700台RAT服务器,其中4000多台位于美国。发现的控制面板中,数量最多的,是源于中国的 Gh0st RAT 恶意程序所用的。Gh0st RAT 2009年面世,被用于针对性网络间谍攻击。

Malware Hunter 产生的C2列表实时更新,因此,安全厂商、公司企业,甚至独立研究员都可以将之用在防火墙和其他安全产品中,封堵恶意流量。

网络级封堵通往这些C2服务器的流量,可以防止攻击者滥用受感染计算机或盗取数据。这比干等安全公司发现新的RAT样本,再从其配置中抽取C2服务器,再添加新的阻止规则,要快多了。

用于识别 RAT C2 服务器的流量特征,基于 Recorded Future 的研究。该公司曾用同样的技术发现恶意服务器,只不过以前是小范围上的识别与发现。

这些爬虫全网扫描时冒充受感染计算机的做法,有一个缺点:过滤入站流量的安全系统会被触发误报。

该服务官网上写道:“ Malware Hunter 不发动攻击,发出的请求不包含任何恶意内容。您的安全产品发出警报的原因,是它使用了只应用于出站流量却被错误应用到入站流量上的一个签名。”

原文发布时间为:五月 5, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/tools-tech/24732.html

相关文章
|
运维 网络安全
运维实用神器-clustershell(实现多台服务器同时控制)
运维实用神器-clustershell(实现多台服务器同时控制)
506 0
运维实用神器-clustershell(实现多台服务器同时控制)
|
4月前
|
安全 算法 网络协议
诱骗IoT恶意软件跟踪C&C服务器
在分析 IoT 僵尸网络时,识别C&C 服务器至关重要。C&C 服务器的 IP 地址一直都是商业威胁情报的重要组成部分,由于 C&C 服务器通信协议日渐复杂并且活跃周期较短,时效性和准确性也非常重要。如果可以自动化识别 IoT 恶意软件使用的 C&C 服务器,能够提供极有价值的威胁情报。
|
网络协议 物联网 数据安全/隐私保护
Wifi-nodeMCU-esp8266 建立热点同时作为服务器完成设备连接控制 | 学习笔记
快速学习 Wifi-nodeMCU-esp8266 建立热点同时作为服务器完成设备连接控制
Wifi-nodeMCU-esp8266 建立热点同时作为服务器完成设备连接控制 | 学习笔记
|
Java Android开发 数据安全/隐私保护
(一)基于阿里云的MQTT远程控制(Android 连接MQTT服务器,ESP8266连接MQTT服务器实现远程通信控制----简单的连接通信)
如果不了解MQTT的可以看这篇文章  http://www.cnblogs.com/yangfengwu/p/7764667.html http://www.cnblogs.com/yangfengwu/p/8026014.
4488 0
|
网络协议 测试技术
9-51单片机ESP8266学习-AT指令(测试TCP服务器--51单片机程序配置8266,C#TCP客户端发信息给单片机控制小灯的亮灭)
http://www.cnblogs.com/yangfengwu/p/8780182.html 自己都是现做现写,如果想知道最终实现的功能,请看最后     先把源码和资料链接放到这里   链接:https://pan.
2051 0
|
移动开发 网络协议 测试技术
7-51单片机ESP8266学习-AT指令(测试TCP服务器--51单片机程序配置8266,用手机TCP调试助手发信息给单片机控制小灯的亮灭)
http://www.cnblogs.com/yangfengwu/p/8759294.html  如不做任何说明默认最头上的链接为上一篇链接,末尾的链接为下一篇链接     先把源码和资料链接放到这里       链接:https://pan.
2824 0
|
存储 网络协议 测试技术
8-51单片机ESP8266学习-AT指令(测试TCP服务器--51单片机程序配置8266,做自己的手机TCP客户端发信息给单片机控制小灯的亮灭)
http://www.cnblogs.com/yangfengwu/p/8776712.html   先把源码和资料链接放到这里 链接:https://pan.baidu.com/s/10MxI8-Q33-M_R2WEHqEi1A 密码:j1sz 先做手机的,然后做C#的 详细点的可以看我这篇文章,请参考着这篇看这篇文章,这篇文章会解决一些细节问题 http://www.
1689 0
|
存储 数据库 数据安全/隐私保护
使用Spring Cloud配置服务器控制你的配置
摘要 本文是《Spring Microservices In Action》第三章关于配置管理的中文翻译,在微服务实践中将所有微服务的配置集中外置到配置中心统一管理,通过将配置管理抽象成独立的服务来简化在不同的环境中的微服务配置管理,帮助微服务无状态化和轻量部署以及调度,已经成为业内默认的最佳实践,Spring Cloud开放的子项目[ConfigServer](https://cloud.
10718 0
|
机器学习/深度学习 NoSQL Redis