23 may. 2017

Malware Hunter: herramienta de Shodan para encontrar servidores C&C

Shodan y Recorded Future lanzaron un motor de búsqueda para descubrir servidores C&C de botnet. Llamado Malware Hunter, esta nueva herramienta está integrada en Shodan, un motor de búsqueda para descubrir dispositivos conectados en Internet.
El funcionamiento de Malware Hunter se basa en bots de búsqueda que rastrean Internet para hallar computadoras que hagan la función de servidor de mando y control de una botnet. En su intención de engañar al servidor de mando y control para que muestre su ubicación, el bot de búsqueda utiliza varias peticiones predefinidas que pretenden hacerse pasar por una computadora infectada para reportar al servidor de mando y control. Si la computadora escaneada responde, Malware Hunter registra la IP y hace que esté disponible desde la interfaz de Shodan.

Cada una de las dos empresas tras Malware Hunter cumple una función. Mientras que Shodan ofrece la posibilidad de demostrar cada dirección IP de Internet de forma rápida y eficiente, Recorded Future está contribuyendo con la información técnica necesaria para imitar computadoras infectadas (bots del malware).

"Esta metodología es la primera que usa Shodan para localizar controladores RAT (Remote Access Trojans/Troyanos de Acceso Remoto) antes de que las muestras de malware sean encontradas", dijo Levi Gundert, vicepresidente de Inteligencia y Estrategia en Recorded Future. "Haciéndolo de esta manera, realizando escaneos de firmas para el controlador RAT de direcciones IP, observando el malware a través de nuestra API y correlacionando a través de una variedad de fuentes, somos capaces de localizar controladores RAT antes de que el malware asociado empiece a esparcirse o comprometa a las víctimas objetivo", continuó.

Los detalles técnicos de lo que hay detrás del proceso de búsqueda e identificación de los servidores de mando y control se pueden consultar a través de este informe [PDF] de 15 páginas publicado por Recorded Future.

El motor de Malware Hunter ya viene con soporte para identificar una gran variedad de servidores de mando y control usados para RAT, como Dark Comet, njRAT, Poison Ivy y Ghost RAT, además de otros.

En el futuro se espera que el motor de búsqueda Malware Hunter sea capaz de descubrir otros tipos de malware relacionados con botnets, como troyanos de puertas traseras, malware para la realización de ciberespionaje, criptomineros y malware para realizar ataques DDoS.

Se puede acceder directamente a la búsqueda en Shodan a través del modificador "category:malware" que en este momento muestra al menos 400 C&C en todo el mundo.

Fuente: Muy Seguridad | BleepingComputer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!