Malware que usa http como un canal encubierto

4

Estoy trabajando en un analizador de tráfico http y necesito una colección de malware, que utiliza http como una forma de obtener comandos y responder, para analizar el comportamiento de su red.

¿Hay alguna base de datos de malware que pueda descargar el código y analizarlo?

Si sabe el nombre de algún malware que usa http, responda también con el nombre, por favor.

    
pregunta Tomáš Šíma 20.06.2012 - 16:39
fuente

4 respuestas

7

Algunos investigadores no permitirán que el público descargue malware, por razones obvias, pero es posible que esté buscando cosas como:

  • php shells
  • conchas de java
  • bots

Metasploit
También tiene Metasploit como recurso de shells HTTP / S de código abierto, stagers y 'malware' para jugar:

Si eres nuevo en Metasploit, hay un tutorial oficial que también incluye cómo usar el HTTP shells.

Bots
En cuanto a los bots, hay un famoso bot IRC de " feelcomz ", que tiene código en muchos lugares en línea. Una búsqueda en Google te dará el código. También hay buenos bot simuladores .

Otras opciones
Muchas reglas de Snort include la referencia al malware que detectan, que le permite ver el comportamiento del malware y cazar tipos específicos. O bien, puede configurar un honeypot y recopilar su propio malware en vivo para analizarlo, que es cómo los investigadores crean sus propias bases de datos de malware.

Esa lista debería mantenerte ocupado por un tiempo ...

    
respondido por el schroeder 20.06.2012 - 17:08
fuente
3

Puede obtener muestras de malware común de tuts4you.com y malware.lu . Saque Wireshark y ejecútelos en una máquina virtual que no esté expuesta a su red personal. Recuerde, esto es algo peligroso y podría ayudar a continuar con la propagación de la infección mientras ataca a los servidores públicos. Lo ideal sería simular el otro extremo de la comunicación para no tener que exponerlo a ninguna red, guarde su virtual.

Además, la gente de Offensive Computing ofrecerá muestras en openmalware.org en algún momento en el futuro.

Si te sientes atrevido, también puedes obtenerlo directamente de la naturaleza. Lugares como malwaredomainlist.com y malwaredomains.com/ te darán Listas de dominios sospechosos de hospedaje / entrega de malware. Recuerde usar la máxima precaución y realizar toda la recuperación e investigación desde una máquina virtual aislada. Visitar estos sitios en sí mismo es peligroso.

    
respondido por el chao-mu 20.06.2012 - 19:29
fuente
2

El malware W32.Duqu (primo de la famosa Stuxnet) utiliza HTTP y HTTPS como capa de transporte para su protocolo de comunicación personalizado específico de Duqu. Más acerca de Duqu que encontrará en Symantec + CrySyS Informe

En offensivecomputing.net había una base de datos pública de muestras de malware, pero actualmente está inactiva y no sé si la muestra de Duqu es allí.

    
respondido por el mzet 20.06.2012 - 17:26
fuente
1

Marque contagiodump y contagioexchange

Tienen una selección de malware interesante y actualizada. La mayoría del malware utiliza HTTP para comunicarse con C & C, encontrará muchas muestras.

    
respondido por el Guillermo Grande 20.06.2012 - 23:29
fuente

Lea otras preguntas en las etiquetas