Salesforce的开放的恶意服务器扫描仪

的Salesforce工程师们提出的JARM网络安全工具开源,允许用户识别恶意服务器,诸如恶意软件命令和控制(C2)基础设施托管在互联网上。

所述的工具是可用的Github的开源上代码库,并用Python编写的。

它使用传输层安全(TLS),以获取信息的加密协议的服务器Hello报文发送响应客户端请求建立安全的数据通信会话。

该TLS服务器Hello报文的响应可以包括操作系统和版本,用于图书馆和它们的版本,它们被调用的顺序,和自定义的配置信息。

通过发送10个TLS客户端Hello报文到目标服务器和聚集接收的响应,JARM产生独特的指纹被扫描的特定主机。

的唯一指纹可用于识别被配置用于恶意软件,如Trickbot,AsyncRAT,Metasploit的,钴打击和默林恶意C2服务器。[123 ]

它们也可以用来快速验证一个组中的所有某些服务器具有相同的TLS配置,并确定默认的应用程序和基础设施。

在互联网上不同的服务器可以通过配置组合在一起作为还有,以确定他们是否属于像谷歌,Salesforce的还是苹果的组织。

该工具还可以用来建立预期屏蔽列表。

“例如,一个网络安全研究人员或公司可以扫描与JARM互联网,关联已知JARM RESULTS与域名和知识产权历史记录和信誉以及证书详细信息构建了一个高保真块列表,“开发人员写道。”这允许网络安全行业迈向以编程方式构建高保真块的可能性在第一件恶意软件甚至分布之前,在很长一段时间内首次将威胁演员放置在防守状态。“和Mike Brady。

诸如识别网络流量的Jarm具有道德考虑的工具,作为类似应用程序的作者,指出了类似应用的作者,指出。

“与任何数据包监控工具一样, nfstreamcould可能被滥用。不要在任何女性网络上运行它...你不是所有者或管理员”的NFStream作者写道。

关注菲娱2官网(www.ynmzfcw.com)。