惡意軟件作者一直伺機入侵這些設備組建成發動DDoS攻擊和其它網絡攻擊的僵尸網絡。
不過Shodan和Recorded Future公司合作推出一款新爬蟲：惡意軟件獵手 (Malware Hunter)，它能定期掃描互聯網識別出多種惡意軟件和僵尸網絡的C&C服務器。“惡意軟件獵手”的結果已整合到Shodan引擎結果中。后者是旨在收集并列出所有類型的聯網設備和系統信息的搜索引擎。
惡意軟件獵手如何識別C&C服務器？
那么惡意軟件獵手是如何知道哪個IP地址正在被用于托管惡意C&C服務器呢？Shodan已為此部署了專門的爬蟲并通過偽裝成返回給C&C服務器的受感染計算機，掃描全網來查找配置為僵尸網絡C&C服務器的計算機和設備。爬蟲將目標IP當成C&C并向每個IP地址反饋，如果它得到的是正響應，那么它就知道這個IP地址是一個惡意的C&C服務器。
Recorded Future在一份長達15頁的報告中指出，“當合適的請求出現在RAT控制器的偵聽器端口時，RAT會返回具體的響應（字符串）”，“在某些情況下，即便是一個基本的TCP三次握手就足以引出RAT控制器響應。這種唯一響應就是一種指紋，能說明RAT控制器（控制面板）正在有問題的計算機上運行”。
已識別出逾5700臺惡意C&C服務器

試用惡意軟件獵手后得到如下令人印象深刻的結果：
（1）惡意軟件獵手已經識別出全球超過5700臺C&C服務器。
（2）前三個惡意C&C服務器最多的國家和地區是美國（72%）、中國香港（12%）和中國（5.2%）。
（3）五款流行遠程訪問木馬包括Gh0st RAT木馬（93.5%）、DarkComet木馬（3.7%）、一些屬于njRAT木馬的服務器、ZeroAccess木馬和XtremeRAT木馬。
（4）Shodan也能識別出Black Shades、Poison Ivy和Net Bus的C&C服務器。
讀者可在Shodan網站上搜索“category:malware”獲得結果（注意搜索時不加雙引號）。
總結
惡意軟件獵手旨在讓安全研究人員能更加容易地找到新的C&C服務器，甚至是在訪問到惡意軟件樣本之前就找到。這種情報收集方法也有助于殺毒廠商識別出無法檢測到的惡意軟件并阻止其將被盜數據返回給攻擊者C&C服務器。