中国301个僵尸网络C&C服务器被Shodan搜出

05-05　网络安全来源: 未知　　

E安全5月4日讯Shodan和威胁情报安全公司Recorded Future发布一款新型爬虫，名为“恶意软件狩猎者” 服务，旨在扫描互联网识别僵尸网络控制与命令服务器（C&C服务器）。

何为Shodan？

Shodan是一个搜索引擎，能帮助发现主要的互联网系统漏洞（包括路由器、交换机、工控系统等）。它在圈内的影响力堪比Google。因此，Shodan有时也被称为“黑客专用版Google”。你还可以通过 Shodan 搜索指定的设备，或者搜索特定类型的设备，Shodan 上最受欢迎的搜索内容包括：webcam，linksys，cisco，netgear，SCADA等等。

Shodan 通过扫描全网设备并抓取解析各个设备返回的 banner 信息，通过了解这些信息 Shodan 就能得知网络中哪一种 Web 服务器是最受欢迎的，或是网络中到底存在多少可匿名登录的 FTP 服务器。

Malware Hunter有啥优势？

Malware Hunter能够识别各种恶意软件和僵尸网络的僵尸网络控制与命令服务器。

Shodan已将Malware Hunter扫描结果整合到Shodan搜索中。这款爬虫充当受感染的计算机向攻击者的服务器发出信标，等待恶意软件下载等其它命令。与被动的蜜罐（Honeypot）和槽洞（Sinkhole）不同的是，Malware Hunter冒充受感染的设备发出带有系统信息的回调函数，从而积极寻求C2服务给出响应。这款爬虫向项目维护人员报告扫描到的每个IP地址，扫描通常可以提供与远程访问木马（RAT）有关的响应。

Recorded Future发布的报告指出，端口扫描工具通常用来识别并衡量公共互联网上可用的特定服务。使用同样的工具识别和配置RAT对执法机构和操作防御人员而言都是有利的。

当RAT控制器的侦听器端口出现适当的请求时，RAT将返回特殊字节响应。

在某些情况下，甚至基本的TCP三次握手（Three-Way Handshake）就足以引起RAT控制器响应。而唯一响应指的一种指纹，其表明计算机上运行的RAT控制器（控制面板）存在问题。

Malware Hunter爬虫战绩

事发时，研究人员表示，Malware Hunter服务已经发现超过5734个恶意C2服务器，其中18个位于意大利。

根据Malware Hunter服务的当前结果，使用最广泛的RAT为Gh0st RAT（93.5%）和DarkComet（3.7%）。托管C2服务器最多的国家为美国(约72%）。

中国内地托管C2服务器约301个。

上图的搜索结果包含两个部分，左侧是大量的汇总数据包括：

Results map – 搜索结果展示地图

Top services (Ports) – 使用最多的服务/端口

Top organizations (ISPs) – 使用最多的组织/ISP

Top operating systems – 使用最多的操作系统