malware používající http jako skrytý kanál
HackForum

malware používající http jako skrytý kanál | # |
| Ahoj
Pracuju na projektu který by analyzoval http provoz na síti a potřebuju nějaký vzorek malwaru který zneužívá http aby z infikovaného počítače posílal data či přijímal příkazy. Nevíte kde na netu najít nějaký větší vzorek takového malwaru? Popřípadě pokud víte o nějakém specifickém malwaru tak mi sem napište jméno. Vím o IEwebdooru a myslím, že darkcraft dělal něco podobného, ale hledám globálně rozšířenější infekce.
Děkuju za odpovědí! (odpovědět) | ask@t | | 200-358-168 | 20.6.2012 14:49 |
|
|
|
re: malware používající http jako skrytý kanál | # |
| Zdar,
jestli chces neco rozsireneho a hlavne jeste aktualniho (chodi toho porad dost, zaklad stejny, jen drobne upravy), tak doporucuju Zbot.
Jsou to uz 3 mesice co jsem delal analyzu, takze si nejsem 100% jisty, jestli pouziva http komunikaci i pro C&C, ale minimalne na "uvod" - stazeni zasifrovaneho konfigu - ano.
Kouknu se ti jeste zitra a kdyz neco najdu, postnu jmena. Ze zkusenosti ale mohu rici, ze vetsinou to jde prez sockety na nejaky preddefinovany port. (odpovědět) | Playa_ | 213.192.12.* | 21.6.2012 2:58 |
|
|
|
re: malware používající http jako skrytý kanál | # |
| Tak jsem nasel jeste jeden, ten pro zmenu pouziva http trafic na upload ukradenych credentials. MS ho detekuje jako "PWS:Win32/Fignotok.A". (odpovědět) | Playa_ | 94.112.253.* | 21.6.2012 12:16 |
|
|
|
re: malware používající http jako skrytý kanál | # |
| Jeste bych ti hodil jeden uzitecny link:
[link] (odpovědět) | Playa_ | 94.112.253.* | 25.6.2012 11:45 |
|
|
|
re: malware používající http jako skrytý kanál | # |
| Díky moc. (odpovědět) | ask@t | | 200-358-168 | 26.6.2012 11:44 |
|
|
|