Come verificare se URL / IP appartiene a un bot zeus

4

Ho una serie di URL che potrebbero essere host Zeus / server C & C dal momento che la mia appliance di sicurezza lo dice. C'è un modo per verificare se questi appartengono veramente a Zeus?

    
posta DaTaBomB 21.02.2014 - 04:08
fonte

3 risposte

8

Se stai cercando informazioni già analizzate e la tua domanda non riguarda i metodi tecnici per identificare un server Zeus C & C; puoi guardare i seguenti luoghi:

Tieni presente che puoi anche utilizzare quei luoghi per cercare molte altre minacce / attività dannose rispetto a Zeus.

    
risposta data 21.02.2014 - 08:11
fonte
5

Per prima cosa, puoi consultare l'elenco abuse.ch zeustracker .

In secondo luogo, si noti che l'elenco abuse.ch è la fonte primaria per la iblocklist.com lista zeus. Potresti anche voler consultare alcuni dei numerosi elenchi di malware su iblocklist.com per cercare altri siti di malware.

Separatamente, è possibile verificare su quale base sta effettuando la determinazione il dispositivo di sicurezza: sta utilizzando un elenco (forse uno di questi)? Se sta usando un elenco, quale, e quanto spesso lo aggiorna? Utilizza invece l'anestes del traffico (come Snort)?

    
risposta data 21.02.2014 - 06:43
fonte
1

Quando ricevo avvisi di possibile infezione da zeus dalle appliance di sicurezza, questo è quello che faccio di solito:

  1. controlla l'URL con zeustracker
  2. se l'URL non si trova nel db di zeustracker, controlla virustotal
  3. se sono presenti rilevamenti, probabilmente questa è una connessione malevola
  4. Esegui un tcpdump sulla connessione per controllare i pacchetti

zeustracker ha una guida che mostra come identificare il malware zeus, vai a dare un'occhiata

    
risposta data 21.02.2014 - 08:43
fonte

Leggi altre domande sui tag