Sto lavorando su un analizzatore di traffico http e ho bisogno di una raccolta di malware, che utilizza http come metodo per ottenere comandi e rispondere, per analizzare il loro comportamento di rete.
C'è qualche database di malware, in cui posso effettivamente scaricare il codice e analizzarlo?
Se conosci solo il nome di alcuni malware che utilizzano http, rispondi con il nome anche per favore.
Alcuni ricercatori non permetteranno al pubblico di scaricare malware, per ovvi motivi, ma potresti cercare cose come:
Metasploit
Disponi anche di Metasploit come risorsa di shell HTTP / S open source, stagers e "malware" con cui giocare:
Se sei nuovo a Metasploit, c'è un tutorial ufficiale che include anche come utilizzare il Shell HTTP.
Bot Per quanto riguarda i bot, c'è un famoso bot IRC di " feelcomz ", che ha il codice in molti luoghi online. Una ricerca su Google ti farà ottenere il codice. Esistono anche buoni simulatori .
Altre opzioni
Molte regole Snort include il riferimento al malware che rilevano, che consente di visualizzare il comportamento del malware e di cercare tipi specifici. In alternativa, puoi configurare un honeypot e raccogliere il tuo malware live da analizzare, ovvero come i ricercatori costruiscono i propri database di malware.
L'elenco dovrebbe tenerti occupato per un po 'di tempo ...
Puoi ottenere campioni di malware comuni da tuts4you.com e malware.lu . Blocca Wireshark e eseguili all'interno di una VM non esposta alla tua rete personale. Ricorda, si tratta di cose pericolose e potresti contribuire a continuare la diffusione dell'infezione mentre attacca i server pubblici. Idealmente ti diverteresti l'altra parte della comunicazione, quindi non devi esporla a nessuna rete, salva quella virtuale.
Inoltre, le persone di Offensive Computing offriranno campioni su openmalware.org in futuro.
Se ti senti audace, puoi anche prenderlo direttamente dalla natura. Luoghi come malwaredomainlist.com e malwaredomains.com/ ti daranno elenchi di domini sospettati di ospitare / distribuire malware. Ricordarsi di usare la massima cautela e fare tutto il recupero e la ricerca da una VM isolata. Visitare questi siti di per sé è pericoloso.
Il malware W32.Duqu (cugino del famoso Stuxnet) utilizza HTTP e HTTPS come livello di trasporto per il suo protocollo di comunicazione personalizzato specifico Duqu. Ulteriori informazioni su Duqu si trovano in Rapporto Symantec + CrySyS
A offensivecomputing.net c'era un database pubblico di campioni di malware, ma è attualmente inattivo e non so se il campione di Duqu sia lì.
Controlla contagiodump e contagioexchange
Hanno una selezione di malware interessante e aggiornata. La maggior parte del malware usa HTTP per comunicare con il C & C, troverai molti campioni.
Leggi altre domande sui tag http network malware botnet network-scanners