我如何在互联网上搜索恶意软件？

Question

对于任何想研究恶意软件的人，都有一个 一些 网站发布恶意软件示例和/或URL提要，供任何人检索和研究。

与执行这种基于文件的分析不同，我想要执行考虑URL和参考页面特性的分析。这要求我爬行单个URL，直到找到有趣的东西，这样的文档或可执行文件。

然而，作为一个没有任何可能对此有帮助的个人(例如访问一个组织的电子邮件收件箱，或与安全研究人员和/或公司的链接)，我如何在互联网上搜索恶意软件？

Answer 1

尝试从公共垃圾邮件邮件开始。

例如，mailinator.com上的一些帐户收到了大量垃圾邮件。在untroubled.org上也有很多公共垃圾邮件可用。

Answer 2

有许多可用的列表，其中包含指向最近托管恶意软件的URL的链接。其中一些列表是公开的，而其他数据源仅为可供选定的研究人员或伙伴使用。

首先，您可以查看可以在https://isc.sans.edu/suspicious_domains.html中找到的公共数据。请引用网站的内容：

互联网上有许多可疑的域名。为了识别它们，以及假阳性，我们已经收集了基于不同来源的跟踪和恶意软件列表的加权列表。ISC正在收集和分类与一定程度的敏感性相关的各种列表。

然后是指向不同网站的链接列表，我将包括这些链接，以供参考：

恶意软件域List.com

来自Malwaredomains域域的域Blocklist

Abuse.ch洗劫软件域Blocklist

Threatexpert.com恶意URL

来自Abuse.ch的宙斯命令和控制服务器

使用从这些列表中获得的域，您就可以开始分析恶意文件。

如果您正在寻找恶意文件所在的URL，请查看第一个链接网站https://www.malwaredomainlist.com/mdl.php。

Answer 3

拥有一个恶意域列表(例如malwaredomainlist.com)并不足以确保您从每个站点获得全部有效负载。

许多站点，包括恶意站点，将根据用户代理发送不同的响应。在某些情况下，恶意站点将查找要利用的DirectX运行时。一个快速而安全的解决方案可能是使用Virtualbox为Windows和Android创建VM。为了节省时间，请确保在清洁安装后保存每个VM的副本。

在Windows中，autohotkey是分析窗口标题/内容和模拟人的响应的一个很好的解决方案。您可以使用自动热键编写一个IE/边缘刮板(一定要启用DirectX)。在Android中，任何脚本语言(想到带有Twisted库的kivy/脚本语言)都可以让您搜索重定向到APK文件并下载它们，而无需安装(这可能是有益的)。