Shodan和威脅情報安全公司Recorded Future發布一款新型爬蟲,名為“惡意軟件狩獵者”(Malware Hunter)服務,旨在掃描互聯網識別僵尸網絡控制與命令服務器(C&C服務器)。
何為Shodan?
Shodan是一個搜索引擎,能幫助發現主要的互聯網系統漏洞(包括路由器、交換機、工控系統等)。它在圈內的影響力堪比Google。因此,Shodan有時也被稱為“黑客專用版Google”。你還可以通過 Shodan 搜索指定的設備,或者搜索特定類型的設備,Shodan 上最受歡迎的搜索內容包括:webcam,linksys,cisco,netgear,SCADA等等。
Shodan 通過掃描全網設備并抓取解析各個設備返回的 banner 信息,通過了解這些信息 Shodan 就能得知網絡中哪一種 Web 服務器是最受歡迎的,或是網絡中到底存在多少可匿名登錄的 FTP 服務器。
Malware Hunter有啥優勢?
Malware Hunter能夠識別各種惡意軟件和僵尸網絡的僵尸網絡控制與命令服務器。
Shodan已將Malware Hunter掃描結果整合到Shodan搜索中。這款爬蟲充當受感染的計算機向攻擊者的服務器發出信標,等待惡意軟件下載等其它命令。與被動的蜜罐(Honeypot)和槽洞(Sinkhole)不同的是,Malware Hunter冒充受感染的設備發出帶有系統信息的回調函數,從而積極尋求C2服務給出響應。這款爬蟲向項目維護人員報告掃描到的每個IP地址,掃描通常可以提供與遠程訪問木馬(RAT)有關的響應。
Recorded Future發布的報告指出,端口掃描工具通常用來識別并衡量公共互聯網上可用的特定服務。使用同樣的工具識別和配置RAT對執法機構和操作防御人員而言都是有利的。
當RAT控制器的偵聽器端口出現適當的請求時,RAT將返回特殊字節響應。
在某些情況下,甚至基本的TCP三次握手(Three-Way Handshake)就足以引起RAT控制器響應。而唯一響應指的一種指紋,其表明計算機上運行的RAT控制器(控制面板)存在問題。
Malware Hunter爬蟲戰績
事發時,研究人員表示,Malware Hunter服務已經發現超過5734個惡意C2服務器,其中18個位于意大利。
根據Malware Hunter服務的當前結果,使用最廣泛的RAT為Gh0st RAT(93.5%)和DarkComet(3.7%)。托管C2服務器最多的國家為美國(約72%)。
中國內地托管C2服務器約301個。
上圖的搜索結果包含兩個部分,左側是大量的匯總數據包括:
Results map – 搜索結果展示地圖
Top services (Ports) – 使用最多的服務/端口
Top organizations (ISPs) – 使用最多的組織/ISP
Top operating systems – 使用最多的操作系統
Top products (Software name) – 使用最多的產品/軟件名稱
隨后,在中間的主頁面我們可以看到包含如下的搜索結果:
IP 地址
主機名
ISP
該條目的收錄收錄時間
該主機位于的國家
Banner 信息
若要查看Malware Hunter結果,可以登錄Shodan搜索“category:malware”。
報告稱,Shodan的簽名還包括RAT,特別是Dark Comet、 njRAT、XtremeRAT、 Poison Ivy和Net Bus。它能識別活動的RAT控制器,一天通常會識別到400至600個RAT控制器,因此,它是一款有價值的情報源。
2015年9月18日以后的結果能從Recorded Future的GitHub頁面下載,參見:
https://github.com/recordedfuture
小編溫馨提醒,對于新手使用Shodan搜索引擎來說,如果只使用關鍵字直接進行搜索,搜索結果可能不盡人意。因此需要使用搜索過濾!
常見用的過濾命令如下所示:
hostname:搜索指定的主機或域名,例如 hostname:"google"
port:搜索指定的端口或服務,例如 port:"21"
country:搜索指定的國家,例如 country:"CN"
city:搜索指定的城市,例如 city:"Hefei"
org:搜索指定的組織或公司,例如 org:"google"
isp:搜索指定的ISP供應商,例如 isp:"China Telecom"
product:搜索指定的操作系統/軟件/平臺,例如 product:"Apache httpd"
version:搜索指定的軟件版本,例如 version:"1.6.2"
geo:搜索指定的地理位置,參數為經緯度,例如 geo:"31.8639, 117.2808"
before/after:搜索指定收錄時間前后的數據,格式為dd-mm-yy,例如 before:"11-11-15"
net:搜索指定的IP地址或子網,例如 net:"210.45.240.0/24"
| 
