Los operadores de malware y botnets adaptan continuamente sus tácticas y
muchos atacantes usan SSL para comunicarse con las máquinas infectadas
que controlan. Un investigador ha empezado una nueva iniciativa para
rastrear el uso de certificados digitales
fraudulentos en estas
operaciones y publicarlas.
El proyecto es obra del investigador suizo a cargo de
Abuse.ch, que durante años ha proporcionado recursos para el seguimiento de muchas de familias de troyanos bancarios y botnets.
SSL Black List
es una lista pública de
certificados asociados con una variedad de
operaciones malintencionadas, incluyendo redes de bots, campañas de
malware y troyanos bancarios. La base de datos consta de los
hash
SHA-1 de cada certificado, así como la razón de por qué fue incluida en
la base de datos. Hasta ahora la lista incluye más de 125 huellas de
certificados, muchos de los cuales se asocian con botnets conocidas
botnets y operaciones de
malware como
Shylock, Kines y
Zeus.
En un
post menciona "El
objetivo de SSLBL
es proporcionar una lista de certificados SSL que están asociadas con
actividades de malware y
botnet. En la actualidad, SSLBL proporciona una
lista de IPs y SHA1 en formato CSV y basada en
las reglas del IDS Suricata, el cual es mantenido por Open Information Security Foundation (
OISF).
Fuente:
ThreatPost