Исследователи используют интернет-сканирования для нахождения сотен удаленного доступа управления домашних компьютеров Trojans, потенциально показывая IP-адреса операторов программного обеспечения.Киберпреступники, которые неправильно конфигурируют их узлы управления для товарного удаленного доступа Trojans (КРЫСЫ) – программное обеспечение, раньше контролировали и управляли другими компьютерами – может быть обнаружен простыми интернет-сканированиями, возможно показав расположение оператора, согласно исследованию, опубликованному 29 сентября фирмой по анализу данных Зарегистрированное будущее.Компания использовала автоматизированное обслуживание сканирования Shodan искать Интернет коммуникационные порты по умолчанию, оставленные открытыми шестью различными семьями Trojans, найдя больше чем 600 вероятных установок КРЫС за неделю, заявила компания в ее отчете.Киберпреступники и цифровые Чрезмерно любопытные люди, которые часто используют товарный удаленный доступ Trojans, и кто не изменяет порт по умолчанию на программном обеспечении, упростили идентифицировать системы и их IP-адреса, сказал Леви Гандерт, вице-президент аналитики угрозы для Зарегистрированного будущего, eWEEK.
«Они устанавливают эти удаленный доступ Trojans, и как только они устанавливают его, существует открытый порт в их системе, для которой мы можем отсканировать», сказал он. «И когда система отвечает, она отправляет уникальную текстовую строку, таким образом, очень маловероятно, что Вы смотрите на положительную ложь».В то время как более сложные атакующие изменят номер порта или, более вероятно, разместить консоль управления в удаленной системе, исследование показывает, что немного меньше технических преступников могло быть идентифицировано по законодательству принудительное осуществление. Многие интернет-адреса, кажется, прибывают из жилых сетей, сказал Гандерт.«Значительная часть операторов RAT устанавливает их дома; это не каждый экземпляр, но мы видим, что это происходит вполне немного», сказал он.
Исследование искало признаки шести популярных товарных КРЫС: BlackShades, DarkComet, NetBus, Сумах, XtremeRAT и njRAT. Те удаленный доступ Trojans продолжают быть популярным выбором киберпреступников, шпионских агентов и других злонамеренных онлайновых деятелей, сказало Зарегистрированное будущее. Сканируя Интернет, компании и фирмы безопасности могут создать список интернет-адресов, которые могут тогда быть исследованы или блокированы.Меньше чем четверть IP-адресов, соединенных с программным обеспечением, была ранее обнаружена исследователями в области безопасности и добавила к VirusTotal, онлайновой базе данных вредоносного кода и IP-адресов, выполненных Google.
Интересно, значительное количество консолей управления RAT или клиенты, расположено на Ближнем Востоке, говорилось в докладе. В то время как приписывание остается хитрым, у операторов в Алжире, Сирии, Объединенных Арабских Эмиратах и других ближневосточных странах есть мало для волнения о судебном преследовании, сказал Гандерт.«Они не заботятся об эффектах приписывания», сказал он. «Существует один узел, который выполняет Темную Комету в Сирии».
XtremeRAT и njRAT популярны на Ближнем Востоке, в то время как Сумах традиционно использовался китайскими кибершпионами. В целом, Темная Комета является самым популярным RAT, найденное исследование.