URL / IPがzeusボットに属しているかどうかを確認する方法
私のセキュリティアプライアンスがそう言っているので、mightがZeusホスト/ C&Cサーバーになる一連のURLがあります。これらが本当にゼウスに属しているかどうかを確認する方法はありますか?
すでに分析されている情報を探していて、Zeus C&C Serverを識別する技術的な方法についての質問ではない場合は、次の場所を見ることができます。
- malwaredomainlist.com
- malwaredb.malekal.com
- exposedbotnets.com
- scumware.org
- malc0de.com
- cybercrime-tracker.net
- vxvault.siri-urz.net
- nothink.org
- botnet-tracker.blogspot.ch
- atlas.arbor.net
- marworm.com
- zeustracker.abuse.ch (Zeusボットネットトラッカー)
- alienvault.com
これらの場所を使用して、Zeus以外の多くの脅威/悪意のあるアクティビティを探すこともできます。
まず、 abuse.ch zeustracker リストを確認します。
次に、abuse.chリストが iblocklist.com zeusリストの主要なソースであることに注意してください。また、iblocklist.comにある他の多くのマルウェアリストを調べて、他のマルウェアサイトを確認することもできます。
それとは別に、セキュリティアプライアンスが判断を下している基準を確認することができます。リストを使用していますか(おそらくこれらの1つですか)。リストを使用している場合、どのリストをどれくらいの頻度で更新しますか?代わりに(Snortのように)トラフィック分析を使用していますか?
セキュリティアプライアンスからZeus感染の可能性があるというアラートを受け取ったとき、これは私が通常行うことです。
- zeustracker でURLを確認します
- uRLがzeustracker dbにない場合は、 virustotal を確認します
- 検出がある場合、これは悪意のある接続である可能性があります
- 接続でtcpdumpを実行してパケットを確認します
zeustrackerには、zeusマルウェアを特定する方法を示すガイドがあります。