Malware Hunter – công cụ mới của Shodan để tìm kiếm các máy chủ điều khiển mã độc

08:43 | 18/05/2017

Mới đây, Shodan đã kết hợp với Recorded Future để đưa ra công cụ Malware Hunter (săn lùng mã độc) – công cụ dò quét Internet để xác định các máy chủ điều khiển mã độc, botnet.



Công cụ Malware Hunter của Shodan như là một máy tìm kiếm đặc biệt, chuyên tìm kiếm các máy tính và thiết bị kết nối với Internet dựa trên các dịch vụ mà nó cung cấp. Máy tìm kiếm này thường được biết tới như công cụ tìm kiếm các thiết bị có lỗ hổng bảo mật. 

Máy chủ ra lệnh và điều khiển (C&C server) là những máy tính kiểm soát tập trung các botnet (bao gồm máy tính, thiết bị và điện thoại di động). Đây là những thiết bị bị nhiễm mã độc đánh cắp dữ liệu cho phép truy cập từ xa bằng cách gửi lệnh và nhận dữ liệu trả về. Kết quả tìm kiếm của Malware Hunter đã được tích hợp vào Shodan.

Vậy Malware Hunter làm thế nào để nhận diện các địa chỉ IP đã bị sử dụng làm máy chủ C&C độc hại?

Shodan đã triển khai những công cụ dò quét đặc biệt, giả làm máy tính bị nhiễm mã độc đang gửi thông tin về máy chủ điều khiển. Nếu một máy tính phản hồi “tích cực” với thông điệp của Malware Hunter, nó sẽ biết địa chỉ IP đó chính là một máy chủ C&C độc hại.

Báo cáo do Recorded Future cho biết, “máy chủ điều khiển mã độc cho phép truy cập từ xa trả về các phản hồi cụ thể khi một yêu cầu đúng với loại được gửi tới cổng lắng nghe của nó" và “trong một số trường hợp, ngay với quy trình bắt tay ba bước cơ bản trong giao thức TCP (TCP three-way handshake) cũng khiến máy chủ điều khiển mã độc phản hồi”. Chuỗi phản hồi bất thường là dấu hiệu nhận biết một máy chủ điều khiển mã độc.

Thử nghiệm của Mohit Kumar (CEO, sáng lập viên của The Hacker news and The Hackers Conference) cho thấy những kết quả ấn tượng như sau:

- Hunter đã nhận diện được hơn 5.700 máy chủ C&C độc hại trên toàn thế giới.

- Ba nước chứa nhiều máy chủ điều khiển mã độc nhất là: Mỹ (72%), Hong Kong (12%) và Trung Quốc (5,2%).

- Năm loại mã độc cho phép truy cập từ xa đang phổ biến là Gh0st RAT Trojan (93,5%), DarkComet trojan (3,7%) và njRAT Trojan, ZeroAccess Trojan, XtremeRAT Trojan.

- Shodan cũng có thể nhận diện các máy chủ C&C Black Shades, Poison Ivy và Net Bus.

Để xem kết quả, người dùng truy cập vào website của Shodan và tìm kiếm với từ khóa category:malware.



Mục đích của Malware Hunter là giúp các nhà nghiên cứu dễ dàng phát hiện những máy chủ C&C mới, ngay cả khi chưa có được mẫu của mã độc và từ đó ngăn chặn mã độc gửi dữ liệu đánh cắp ra khỏi máy tính của người dùng.