Kötü amaçlı yazılımların sayısı katlanarak artarken onlarla başa çıkabilmek için geliştirilen yöntemler de buna ayak uydurmak zorunda. Shodan artık zararlı yazılımların C&C (Command and Control) merkezlerini tespit edebiliyor.
Shodan bunu nasıl yapıyor?
Shodan, zararlı yazılım tarafından ele geçirilmiş bir bilgisayar gibi davranarak, komuta kontrol sunucularının IP adreslerini tespit ediyor ve bunları shodan.io üzerinden yayına açıyor.
Shodan ile nasıl C&C buluyoruz?
Öncelikle bir Shodan hesabı açmamız gerekiyor çünkü Shodan arama motoru filtrelerini kullanmak için bir kullanıcı açmak gerekiyor. İşlem çok basit.
Aşağıdaki gibi arama çubuğuna "category:malware" yazarak Shodan'ın endekslediği C&C'lerin IP adreslerini öğrenebiliriz:
Aşağıdaki gibi arama çubuğuna "category:malware" yazarak Shodan'ın endekslediği C&C'lerin IP adreslerini öğrenebiliriz:
Endekslenen IP adreslerinden birini inceleyecek olursak:
IP adresinde bir DarkComet RAT (Remote Access Trojan) komuta ve kontrol merkezi olduğu anlaşılıyor.
Bir başka IP adresinde ise çok ünlü Poison Ivy Trojan'ına rastlıyoruz:
Şimdi de aynı işlemi Türkiye'de bulunan komuta ve kontrol merkezlerini bulmak için yapalım:
Shodan Türkiye'de tam 44 tane zararlı yazılım komuta ve kontrol merkezi tespit etmiş.
Bu IP adreslerinden birini inceleyecek olursak, yine DarkComet Trojan'ıyla karşılaşıyoruz.
