使用http作为隐蔽通道的恶意软件

Question

我正在研究一个http流量分析器，我需要一组恶意软件，它使用http作为获取命令和响应的方法，来分析它们的网络行为。

有没有恶意软件的数据库，我可以下载代码并对其进行分析？

如果你只知道一些使用http的恶意软件的名称，请用名称回答。

Answer 1

出于显而易见的原因，一些研究人员不会让公众下载恶意软件，但你可能会寻找这样的东西：

• php外壳
• java外壳
• 机器人

Metasploit

您还可以使用Metasploit作为开源HTTP/S shell、寻呼机和“恶意软件”的资源：

• http://www.metasploit.com/modules/payload/windows/shell/reverse_http
• http://www.metasploit.com/modules/payload/java/
• http://www.metasploit.com/modules/payload/php/

如果您是Metasploit的新手，那么就有一个正式的教程，其中还包括如何使用HTTP。

机器人

至于机器人，有一个著名的IRC机器人，来自于"feelcomz"，它在很多地方都有代码。谷歌搜索会给你提供密码。还有很好的机器人模拟器。

其他选项

许多Snort规则包括 --它们检测到的恶意软件的引用--允许您查看恶意软件行为并查找特定类型。或者，您可以建立一个蜜罐并收集您自己的实时恶意软件进行分析，这就是研究人员如何构建自己的恶意软件数据库的方法。

这份清单会让你忙上一段时间..。

Answer 2

您可以从tuts4you.com和malware.lu获得常见恶意软件的示例。拔出Wireshark，并在没有暴露到您的个人网络的VM中运行它们。记住，这是危险的东西，当它攻击公共服务器时，您可以帮助继续传播感染。理想情况下，您可以欺骗通信的另一端，这样您就不必将其暴露到任何网络中，只需保存您的虚拟网络。

而且，在未来的某个时候，在openmalware.org上，攻击计算的人员将提供样本。

如果你觉得大胆，你也可以直接从野外得到它。像malwaredomainlist.com和malwaredomains.com/这样的地方会给出涉嫌托管/交付恶意软件的域名列表。记住要非常小心，并在一个孤立的VM中进行所有的检索和研究。参观这些地点本身是危险的。

Answer 3

Duqu恶意软件(著名Stuxnet的表亲)使用HTTP和HTTPS作为传输层，用于特定于Duqu的自定义通信协议。关于杜库的更多信息，您可以在Symantec+CrySyS报告中找到

在offensivecomputing.net，有恶意软件样本的公共数据库，但它目前已经关闭，我不知道杜库样本是否在那里。