Malware che utilizza http come canale nascosto

4

Sto lavorando su un analizzatore di traffico http e ho bisogno di una raccolta di malware, che utilizza http come metodo per ottenere comandi e rispondere, per analizzare il loro comportamento di rete.

C'è qualche database di malware, in cui posso effettivamente scaricare il codice e analizzarlo?

Se conosci solo il nome di alcuni malware che utilizzano http, rispondi con il nome anche per favore.

    
posta Tomáš Šíma 20.06.2012 - 16:39
fonte

4 risposte

7

Alcuni ricercatori non permetteranno al pubblico di scaricare malware, per ovvi motivi, ma potresti cercare cose come:

  • shell PHP
  • java shell
  • bots

Metasploit
Disponi anche di Metasploit come risorsa di shell HTTP / S open source, stagers e "malware" con cui giocare:

Se sei nuovo a Metasploit, c'è un tutorial ufficiale che include anche come utilizzare il Shell HTTP.

Bot Per quanto riguarda i bot, c'è un famoso bot IRC di " feelcomz ", che ha il codice in molti luoghi online. Una ricerca su Google ti farà ottenere il codice. Esistono anche buoni simulatori .

Altre opzioni
Molte regole Snort include il riferimento al malware che rilevano, che consente di visualizzare il comportamento del malware e di cercare tipi specifici. In alternativa, puoi configurare un honeypot e raccogliere il tuo malware live da analizzare, ovvero come i ricercatori costruiscono i propri database di malware.

L'elenco dovrebbe tenerti occupato per un po 'di tempo ...

    
risposta data 20.06.2012 - 17:08
fonte
3

Puoi ottenere campioni di malware comuni da tuts4you.com e malware.lu . Blocca Wireshark e eseguili all'interno di una VM non esposta alla tua rete personale. Ricorda, si tratta di cose pericolose e potresti contribuire a continuare la diffusione dell'infezione mentre attacca i server pubblici. Idealmente ti diverteresti l'altra parte della comunicazione, quindi non devi esporla a nessuna rete, salva quella virtuale.

Inoltre, le persone di Offensive Computing offriranno campioni su openmalware.org in futuro.

Se ti senti audace, puoi anche prenderlo direttamente dalla natura. Luoghi come malwaredomainlist.com e malwaredomains.com/ ti daranno elenchi di domini sospettati di ospitare / distribuire malware. Ricordarsi di usare la massima cautela e fare tutto il recupero e la ricerca da una VM isolata. Visitare questi siti di per sé è pericoloso.

    
risposta data 20.06.2012 - 19:29
fonte
2

Il malware W32.Duqu (cugino del famoso Stuxnet) utilizza HTTP e HTTPS come livello di trasporto per il suo protocollo di comunicazione personalizzato specifico Duqu. Ulteriori informazioni su Duqu si trovano in Rapporto Symantec + CrySyS

A offensivecomputing.net c'era un database pubblico di campioni di malware, ma è attualmente inattivo e non so se il campione di Duqu sia lì.

    
risposta data 20.06.2012 - 17:26
fonte
1

Controlla contagiodump e contagioexchange

Hanno una selezione di malware interessante e aggiornata. La maggior parte del malware usa HTTP per comunicare con il C & C, troverai molti campioni.

    
risposta data 20.06.2012 - 23:29
fonte

Leggi altre domande sui tag