中國301個殭屍網路C&C伺服器被Shodan搜出

E安全5月4日訊Shodan和威脅情報安全公司Recorded Future發布一款新型爬蟲，名為「惡意軟體狩獵者」（Malware Hunter）服務，旨在掃描互聯網識別殭屍網路控制與命令伺服器（C&C伺服器）。

何為Shodan？

Shodan是一個搜索引擎，能幫助發現主要的互聯網系統漏洞（包括路由器、交換機、工控系統等）。它在圈內的影響力堪比Google。因此，Shodan有時也被稱為「黑客專用版Google」。你還可以通過
Shodan 搜索指定的設備，或者搜索特定類型的設備，Shodan
上最受歡迎的搜索內容包括：webcam，linksys，cisco，netgear，SCADA等等。

Shodan 通過掃描全網設備並抓取解析各個設備返回的 banner 信息，通過了解這些信息 Shodan 就能得知網路中哪一種 Web 伺服器是最受歡迎的，或是網路中到底存在多少可匿名登錄的 FTP 伺服器。

Malware Hunter有啥優勢？

Malware Hunter能夠識別各種惡意軟體和殭屍網路的殭屍網路控制與命令伺服器。

Shodan已將Malware

Hunter掃描結果整合到Shodan搜索中。這款爬蟲充當受感染的計算機向攻擊者的伺服器發出信標，等待惡意軟體下載等其它命令。與被動的蜜罐（Honeypot）和槽洞（Sinkhole）不同的是，Malware

Hunter冒充受感染的設備發出帶有系統信息的回調函數，從而積極尋求C2服務給出響應。這款爬蟲向項目維護人員報告掃描到的每個IP地址，掃描通常可以提供與遠程訪問木馬（RAT）有關的響應。

Recorded Future發布的報告指出，埠掃描工具通常用來識別並衡量公共互聯網上可用的特定服務。使用同樣的工具識別和配置RAT對執法機構和操作防禦人員而言都是有利的。

當RAT控制器的偵聽器埠出現適當的請求時，RAT將返回特殊位元組響應。

在某些情況下，甚至基本的TCP三次握手（Three-Way Handshake）就足以引起RAT控制器響應。而唯一響應指的一種指紋，其表明計算機上運行的RAT控制器（控制面板）存在問題。

Malware Hunter爬蟲戰績

事發時，研究人員表示，Malware Hunter服務已經發現超過5734個惡意C2伺服器，其中18個位於義大利。

根據Malware Hunter服務的當前結果，使用最廣泛的RAT為Gh0st RAT（93.5%）和DarkComet（3.7%）。託管C2伺服器最多的國家為美國(約72%）。

中國內地託管C2伺服器約301個。

上圖的搜索結果包含兩個部分，左側是大量的匯總數據包括：

• Results map – 搜索結果展示地圖

• Top services (Ports) – 使用最多的服務/埠

• Top organizations (ISPs) – 使用最多的組織/ISP

• Top operating systems – 使用最多的操作系統

• Top products (Software name) – 使用最多的產品/軟體名稱

隨後，在中間的主頁面我們可以看到包含如下的搜索結果：

• IP 地址

• 主機名

• ISP

• 該條目的收錄收錄時間

• 該主機位於的國家

• Banner 信息

若要查看Malware Hunter結果，可以登錄Shodan搜索「category:malware」。

報告稱，Shodan的簽名還包括RAT，特別是Dark Comet、 njRAT、XtremeRAT、 Poison Ivy和Net Bus。它能識別活動的RAT控制器，一天通常會識別到400至600個RAT控制器，因此，它是一款有價值的情報源。

2015年9月18日以後的結果能從Recorded Future的GitHub頁面下載，參見：

https://github.com/recordedfuture

E安全小編溫馨提醒，對於新手使用Shodan搜索引擎來說，如果只使用關鍵字直接進行搜索，搜索結果可能不盡人意。因此需要使用搜索過濾！

常見用的過濾命令如下所示：

• hostname：搜索指定的主機或域名，例如 hostname:"google"

• port：搜索指定的埠或服務，例如 port:"21"

• country：搜索指定的國家，例如 country:"CN"

• city：搜索指定的城市，例如 city:"Hefei"

• org：搜索指定的組織或公司，例如 org:"google"

• isp：搜索指定的ISP供應商，例如 isp:"China Telecom"

• product：搜索指定的操作系統/軟體/平台，例如 product:"Apache httpd"

• version：搜索指定的軟體版本，例如 version:"1.6.2"

• geo：搜索指定的地理位置，參數為經緯度，例如 geo:"31.8639, 117.2808"

• before/after：搜索指定收錄時間前後的數據，格式為dd-mm-yy，例如 before:"11-11-15"

• net：搜索指定的IP地址或子網，例如 net:"210.45.240.0/24"

E安全註：本文系E安全獨家報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。