恶意软件猎——Shodan发现恶意软件C&C服务器的新工具

但现在发现由攻击者托管的恶意服务器，控制受感染机器的僵尸网络变得更容易了。感谢Shodan和记录的未来。

Shodan和Recorded Future联手推出了恶意软件猎人– 一种定期扫描互联网的爬虫程序，用于识别各种恶意软件和僵尸网络的僵尸网络命令和控制（C&C）服务器。

命令和控制服务器(C&；C服务器)是控制机器人的集中式机器(电脑、智能电器或智能手机)，通常通过发送命令和接收数据感染远程访问特洛伊木马或数据窃取恶意软件。

恶意软件猎人的搜索结果已被整合到Shodan–；一种搜索引擎，用于收集和列出所有类型的互联网连接设备和系统的信息。

怎么做恶意软件猎人识别C&；C服务器？

你可能想知道恶意软件猎人如何知道哪个IP地址被用来托管恶意C&；C服务器。

为此，Shodan部署了专门的爬虫程序，扫描整个互联网，寻找配置为僵尸网络C&；通过假装被感染的计算机向命令和控制服务器报告。

爬虫有效地向网络上的每个IP地址报告，就像目标IP是C&；如果得到了肯定的回应，那么它就知道IP是恶意的C&；C服务器。

据Recorded Future发布的一份15页的报告[PDF]称，“当老鼠控制器的侦听器端口上出现正确的请求时，老鼠会返回特定的响应（字符串）。”。

“在某些情况下，即使是基本的TCP三方握手也足以引发RAT控制器响应。唯一的响应是一个指纹，表明RAT控制器（控制面板）正在相关计算机上运行。”

恶意软件猎人已经识别出超过5700个恶意C&；C服务器

我们尝试了一下，发现了令人印象深刻的结果，简要介绍如下：

1. 恶意软件猎人已经在世界各地识别出5700多台命令和控制服务器。
2. 托管指挥和控制服务器的前3个国家包括美国（72%）、香港（12%）和中国（5.2%）。
3. 广泛使用的五种流行远程访问特洛伊木马（RAT）包括Gh0st RAT特洛伊木马（93.5%）、DarkCome特洛伊木马（3.7%），以及njRAT特洛伊木马、ZeroAccess特洛伊木马和XtremeRAT特洛伊木马的一些服务器。
4. Shodan还能够识别C&；C服务器用于黑影、毒藤和网络总线。

要查看结果，只需在Shodan网站上搜索不带引号的“类别：恶意软件”。

恶意软件猎人旨在让安全研究人员更容易识别新托管的C&；C服务器，甚至在访问相应的恶意软件样本之前。

这种情报收集还将帮助反病毒供应商识别不可检测的恶意软件，并防止其将窃取的数据发送回攻击者的命令和控制服务器。