Shodan s’attaque aux serveurs de commande des malwares

Sécurité : Avec son nouveau service Malware Hunter, le moteur de recherche Shodan s’attaque à une nouvelle activité : l’indexation des serveurs de command&control utilisés par les cybercriminels pour diriger à distance l’activité des malwares sur les machines infectées.

Shodan est un moteur de recherche d’un genre un peu particulier. Contrairement à Google, dont l’objectif est avant tout d’indexer les sites web en ligne selon leurs thèmes et contenus, Shodan cherche à cartographier l’ensemble des systèmes et appareils connectés sur le réseau.

Une tache qu’il accomplit en s’appuyant sur le balayage de ports et qui lui permet de remonter des résultats bien différents de ceux des moteurs de recherche classique : c’est grâce à Shodan que l’on a par exemple découvert le nombre de bases de données connectées au réseau et dépourvues de tout mécanisme d’authentification, ou encore que des systèmes de pompes hydrauliques utilisés dans certains barrages étaient faciles à atteindre et ne disposaient pas de protections particulières.

Shodan s’attaque aux serveurs de commande des malwares - 2017 - 2018 

Autant dire que Shodan a fait le bonheur de nombreux chercheurs en sécurité, qui ont eu recours à l’outil de façon croissante au cours des trois dernières années pour alimenter leurs rapports. Pas vraiment étonnant de voir les développeurs de Shodan annoncer un nouveau service baptisé Malware Hunter.

Ce nouveau service du moteur de recherche, développé en partenariat avec la société de cybersécurité Recorded Future, fonctionne toujours sur le principe du balayage de ports, mais vise cette fois à répertorier les serveurs de Command&control utilisés par les cybercriminels pour contrôler des malwares de type RAT (Remote Administration Tool.) Pour parvenir à identifier ces serveurs, Shodan se fait passer pour une machine infectée par différents RAT populaires sur les forums dédiés à la criminalité informatique : Gh0st RAT, Darkcomet ou encore Njrat parmi d’autres.

Le service envoie donc à de nombreuses machines du trafic similaire à celui que pourrait envoyer une machine infectée : lorsque la machine cible accepte les données, cela signifie qu’elle est potentiellement utilisée comme un serveur de contrôle par les utilisateurs de ce type de malware.

À ce jour, le nouveau moteur de Shodan a permis d’indexer un peu plus de 3000 machines suspectées d’être utilisées comme serveur de Command&Control pour 10 types de RAT différents. Difficile pour l’instant d’évaluer la part de faux positifs dans les chiffres avancés par Shodan, mais la société devrait pouvoir bénéficier des feedbacks de ses utilisateurs afin d’affiner sa méthode et son outil. De son côté, la société Recorded Future a publié un livre blanc détaillant l’approche de ce nouveau moteur de recherche, disponible à cette adresse.

Shodan s’attaque aux serveurs de commande des malwares

Source : L’article Shodan s’attaque aux serveurs de commande des malwares >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Shodan s’attaque aux serveurs de commande des malwares - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-05-04T18:59:19+00:00

Laisser un commentaire