Shodan和威脅情報(bào)安全公司Recorded Future發(fā)布一款新型爬蟲(chóng),名為“惡意軟件狩獵者”(Malware Hunter)服務(wù),旨在掃描互聯(lián)網(wǎng)識(shí)別僵尸網(wǎng)絡(luò)控制與命令服務(wù)器(C&C服務(wù)器)。
何為Shodan?
Shodan是一個(gè)搜索引擎,能幫助發(fā)現(xiàn)主要的互聯(lián)網(wǎng)系統(tǒng)漏洞(包括路由器、交換機(jī)、工控系統(tǒng)等)。它在圈內(nèi)的影響力堪比Google。因此,Shodan有時(shí)也被稱為“黑客專用版Google”。你還可以通過(guò) Shodan 搜索指定的設(shè)備,或者搜索特定類型的設(shè)備,Shodan 上最受歡迎的搜索內(nèi)容包括:webcam,linksys,cisco,netgear,SCADA等等。
Shodan 通過(guò)掃描全網(wǎng)設(shè)備并抓取解析各個(gè)設(shè)備返回的 banner 信息,通過(guò)了解這些信息 Shodan 就能得知網(wǎng)絡(luò)中哪一種 Web 服務(wù)器是最受歡迎的,或是網(wǎng)絡(luò)中到底存在多少可匿名登錄的 FTP 服務(wù)器。
Malware Hunter有啥優(yōu)勢(shì)?
Malware Hunter能夠識(shí)別各種惡意軟件和僵尸網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)控制與命令服務(wù)器。
Shodan已將Malware Hunter掃描結(jié)果整合到Shodan搜索中。這款爬蟲(chóng)充當(dāng)受感染的計(jì)算機(jī)向攻擊者的服務(wù)器發(fā)出信標(biāo),等待惡意軟件下載等其它命令。與被動(dòng)的蜜罐(Honeypot)和槽洞(Sinkhole)不同的是,Malware Hunter冒充受感染的設(shè)備發(fā)出帶有系統(tǒng)信息的回調(diào)函數(shù),從而積極尋求C2服務(wù)給出響應(yīng)。這款爬蟲(chóng)向項(xiàng)目維護(hù)人員報(bào)告掃描到的每個(gè)IP地址,掃描通常可以提供與遠(yuǎn)程訪問(wèn)木馬(RAT)有關(guān)的響應(yīng)。
Recorded Future發(fā)布的報(bào)告指出,端口掃描工具通常用來(lái)識(shí)別并衡量公共互聯(lián)網(wǎng)上可用的特定服務(wù)。使用同樣的工具識(shí)別和配置RAT對(duì)執(zhí)法機(jī)構(gòu)和操作防御人員而言都是有利的。
當(dāng)RAT控制器的偵聽(tīng)器端口出現(xiàn)適當(dāng)?shù)恼?qǐng)求時(shí),RAT將返回特殊字節(jié)響應(yīng)。
在某些情況下,甚至基本的TCP三次握手(Three-Way Handshake)就足以引起RAT控制器響應(yīng)。而唯一響應(yīng)指的一種指紋,其表明計(jì)算機(jī)上運(yùn)行的RAT控制器(控制面板)存在問(wèn)題。
Malware Hunter爬蟲(chóng)戰(zhàn)績(jī)
事發(fā)時(shí),研究人員表示,Malware Hunter服務(wù)已經(jīng)發(fā)現(xiàn)超過(guò)5734個(gè)惡意C2服務(wù)器,其中18個(gè)位于意大利。
根據(jù)Malware Hunter服務(wù)的當(dāng)前結(jié)果,使用最廣泛的RAT為Gh0st RAT(93.5%)和DarkComet(3.7%)。托管C2服務(wù)器最多的國(guó)家為美國(guó)(約72%)。
中國(guó)內(nèi)地托管C2服務(wù)器約301個(gè)。
上圖的搜索結(jié)果包含兩個(gè)部分,左側(cè)是大量的匯總數(shù)據(jù)包括:
Results map – 搜索結(jié)果展示地圖
Top services (Ports) – 使用最多的服務(wù)/端口
Top organizations (ISPs) – 使用最多的組織/ISP
Top operating systems – 使用最多的操作系統(tǒng)
Top products (Software name) – 使用最多的產(chǎn)品/軟件名稱
隨后,在中間的主頁(yè)面我們可以看到包含如下的搜索結(jié)果:
IP 地址
主機(jī)名
ISP
該條目的收錄收錄時(shí)間
該主機(jī)位于的國(guó)家
Banner 信息
若要查看Malware Hunter結(jié)果,可以登錄Shodan搜索“category:malware”。
報(bào)告稱,Shodan的簽名還包括RAT,特別是Dark Comet、 njRAT、XtremeRAT、 Poison Ivy和Net Bus。它能識(shí)別活動(dòng)的RAT控制器,一天通常會(huì)識(shí)別到400至600個(gè)RAT控制器,因此,它是一款有價(jià)值的情報(bào)源。
2015年9月18日以后的結(jié)果能從Recorded Future的GitHub頁(yè)面下載,參見(jiàn):
https://github.com/recordedfuture
小編溫馨提醒,對(duì)于新手使用Shodan搜索引擎來(lái)說(shuō),如果只使用關(guān)鍵字直接進(jìn)行搜索,搜索結(jié)果可能不盡人意。因此需要使用搜索過(guò)濾!
常見(jiàn)用的過(guò)濾命令如下所示:
hostname:搜索指定的主機(jī)或域名,例如 hostname:"google"
port:搜索指定的端口或服務(wù),例如 port:"21"
country:搜索指定的國(guó)家,例如 country:"CN"
city:搜索指定的城市,例如 city:"Hefei"
org:搜索指定的組織或公司,例如 org:"google"
isp:搜索指定的ISP供應(yīng)商,例如 isp:"China Telecom"
product:搜索指定的操作系統(tǒng)/軟件/平臺(tái),例如 product:"Apache httpd"
version:搜索指定的軟件版本,例如 version:"1.6.2"
geo:搜索指定的地理位置,參數(shù)為經(jīng)緯度,例如 geo:"31.8639, 117.2808"
before/after:搜索指定收錄時(shí)間前后的數(shù)據(jù),格式為dd-mm-yy,例如 before:"11-11-15"
net:搜索指定的IP地址或子網(wǎng),例如 net:"210.45.240.0/24"
| 
