现在有一个新的工具,可以让企业迅速地阻止恶意程序以及它们的频繁变化的命令和控制服务器之间的通信。
威胁情报公司录制的未来已经与撒旦,互联网连接设备和服务的搜索引擎合作,创建一个新的名为网上履带恶意软件猎人。
这项新服务会不断扫描网络找到控制面板超过十个不同的远程访问木马(RAT)的方案,其中包括Gh0st RAT,DarkComet,njRAT,ZeroAccess和XtremeRAT。这些都是在地下论坛销售的商用恶意软件工具和网络罪犯用来采取感染计算机的完全控制。
要识别的命令与控制(C&C)服务器,恶意软件猎人履带式插口连接到公共互联网协议地址和发送业务是重复一下这些木马程序会派自己的控制面板。如果接收计算机发回具体答复他们标记为C&C服务器。
恶意软件猎人已确定面积超过5,700 RAT服务器到目前为止,有超过4000人位于美国的控制面板数量最多的发现是为Gh0st RAT,已经有针对性的网络间谍攻击,自2009年以来使用的原产于中国的恶意软件程序。
恶意软件猎人产生的C&C列表中实时更新,因此安全厂商,公司,甚至独立的研究人员可以使用它在防火墙和其他安全产品,以阻止恶意流量。
在网络层阻塞交通这些C&C服务器可以防止攻击者滥用受感染的计算机或窃取数据。这可能是快于等待保安公司发现新的RAT样品,从它们的配置提取的命令和控制服务器并添加阻止规则为他们。
用于识别RAT C&C服务器的网络流量特征是基于未来的记录,它使用相同的技术在过去的识别恶意服务器,但规模较小的研究。
爬虫扫描整个网络时伪装成受感染的计算机的缺点是,它可能会引发人们的安全系统,其过滤器的传入流量误报。
“恶意软件猎人不进行任何攻击,并将其发送不包含任何恶意内容的要求,”该服务的创造者在其网站上说。“你的安全产品提出警告的原因是因为它使用的是应仅用于流量离开网络(出口),但被错误地被应用到入站流量(入口)的签名。”