E安全5月4日讯 Shodan和安全公司Recorded Future发布一款新型爬虫，名为“恶意软件狩猎者”（Malware Hunter）服务，旨在扫描互联网识别僵尸网络控制与命令服务器（C&C服务器）。

Shodan 通过扫描全网设备并抓取解析各个设备返回的 banner 信息，通过了解这些信息 Shodan 就能得知网络中哪一种 Web 服务器是最受欢迎的，或是网络中到底存在多少可匿名登录的 FTP 服务器。

Shodan已将Malware Hunter扫描结果整合到Shodan搜索中。这款爬虫充当受感染的计算机向攻击者的服务器发出信标，等待恶意软件下载等其它命令。与被动的蜜罐（Honeypot）和槽洞（Sinkhole）不同的是，Malware Hunter冒充受感染的设备发出带有系统信息的回调函数，从而积极寻求C&C服务给出响应。这款爬虫向项目维护人员报告扫描到的每个IP地址，扫描通常可以提供与远程访问木马（RAT）有关的响应。

Recorded Future发布的报告指出，端口扫描工具通常用来识别并衡量公共互联网上可用的特定服务。使用同样的工具识别和配置RAT对执法机构和操作防御人员而言都是有利的。

当RAT控制器的侦听器端口出现适当的请求时，RAT将返回特殊字节响应。

在某些情况下，甚至基本的TCP三次握手（Three-Way Handshake）就足以引起RAT控制器响应。而唯一响应指的一种指纹，其表明计算机上运行的RAT控制器（控制面板）存在问题。

根据Malware Hunter服务的当前结果，使用最广泛的RAT为Gh0st RAT（93.5%）和DarkComet（3.7%）。托管C&C服务器最多的国家为美国(约72%）。

中国内地托管C&C服务器约301个（E安全查询时间2017年5月3日下午16时）。

上图的搜索结果包含两个部分，左侧是大量的汇总数据包括：

• Results map – 搜索结果展示地图

• Top services (Ports) – 使用最多的服务/端口

• Top organizations (ISPs) – 使用最多的组织/ISP

• Top operating systems – 使用最多的操作系统

• Top products (Software name) – 使用最多的产品/软件名称

随后，在中间的主页面我们可以看到包含如下的搜索结果：

• IP 地址

• 主机名

• ISP

• 该条目的收录收录时间

• 该主机位于的国家

• Banner 信息

若要查看Malware Hunter结果，可以登录Shodan搜索“category:malware”。

报告称，Shodan的签名还包括RAT，特别是Dark Comet、 njRAT、XtremeRAT、 Poison Ivy和Net Bus。它能识别活动的RAT控制器，一天通常会识别到400至600个RAT控制器，因此，它是一款有价值的情报源。

2015年9月18日以后的结果能从Recorded Future的GitHub页面下载，参见：https://github.com/recordedfuture

E安全小编温馨提醒，对于新手使用Shodan搜索引擎来说，如果只使用关键字直接进行搜索，搜索结果可能不尽人意。因此需要使用搜索过滤！

常见用的过滤命令如下所示：

• hostname：搜索指定的主机或域名，例如 hostname:"google"

• port：搜索指定的端口或服务，例如 port:"21"

• country：搜索指定的国家，例如 country:"CN"

• city：搜索指定的城市，例如 city:"Hefei"

• org：搜索指定的组织或公司，例如 org:"google"

• isp：搜索指定的ISP供应商，例如 isp:"China Telecom"

• product：搜索指定的操作系统/软件/平台，例如 product:"Apache httpd"

• version：搜索指定的软件版本，例如 version:"1.6.2"

• geo：搜索指定的地理位置，参数为经纬度，例如 geo:"31.8639, 117.2808"

• before/after：搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:"11-11-15"

• net：搜索指定的IP地址或子网，例如 net:"210.45.240.0/24"