Создан инструмент для выявления серверов управления вредоносной активностью

Программный инструмент JARM с открытым исходным кодом, созданный для выявления вредоносных серверов в Интернете, опубликован американской компаний Salesforce, 18 ноября сообщил австралийский портал ИТ-новостей ITNews.

Небольшая программа JARM написана на языке программирования Python 3 и опубликована Salesforce на сервисе-хранилище программных проектов GitHub.

JARM устанавливает защищенное соединение с указанной машиной в сети Интернет по протоколу Transport Layer Security (TLS) и отправляет ей 10 пакетов «приветствия» («Hello»). Полученные ответы программа использует для составления уникального отпечатка машины.

Ответы сервера на пакеты «Hello» могут включать в себя тип операционной системы и ее версию, используемые библиотеки и их версии, порядок, в котором они были вызваны, и информацию о конфигурации.

Уникальные отпечатки используются программой для выявления серверов управления такими вредоносными программами, как Trickbot, AsyncRAT, Metasploit, Cobalt Strike и Merlin.

Инструмент также можно использовать для создания упреждающих «черных списков» серверов. «Исследователь кибербезопасности или компания могут сканировать Интернет с помощью JARM, соотносить известные результаты JARM с историей доменного имени IP-адреса, их репутацией, а также данными сертификата для создания высокоточного черного списка», — заявили разработчики.

Это позволит индустрии кибербезопасности перейти к возможности программного создания «черных списков» до того, как будет внедрена первая вредоносная программа, считают авторы программы.