锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
Shodan搜出中国301个僵尸网络C&C服务器

作者: 佚名  日期:2017-05-05 11:08:06   来源: 本站整理

 Shodan和威胁情报安全公司Recorded Future发布一款新型爬虫,名为“恶意软件狩猎者”(Malware Hunter)服务,旨在扫描互联网识别僵尸网络控制与命令服务器(C&C服务器)。
何为Shodan?
Shodan是一个搜索引擎,能帮助发现主要的互联网系统漏洞(包括路由器、交换机、工控系统等)。它在圈内的影响力堪比Google。因此,Shodan有时也被称为“黑客专用版Google”。你还可以通过 Shodan 搜索指定的设备,或者搜索特定类型的设备,Shodan 上最受欢迎的搜索内容包括:webcam,linksys,cisco,netgear,SCADA等等。

Shodan 通过扫描全网设备并抓取解析各个设备返回的 banner 信息,通过了解这些信息 Shodan 就能得知网络中哪一种 Web 服务器是最受欢迎的,或是网络中到底存在多少可匿名登录的 FTP 服务器。
Malware Hunter有啥优势?
Malware Hunter能够识别各种恶意软件和僵尸网络的僵尸网络控制与命令服务器。
Shodan已将Malware Hunter扫描结果整合到Shodan搜索中。这款爬虫充当受感染的计算机向攻击者的服务器发出信标,等待恶意软件下载等其它命令。与被动的蜜罐(Honeypot)和槽洞(Sinkhole)不同的是,Malware Hunter冒充受感染的设备发出带有系统信息的回调函数,从而积极寻求C2服务给出响应。这款爬虫向项目维护人员报告扫描到的每个IP地址,扫描通常可以提供与远程访问木马(RAT)有关的响应。
Recorded Future发布的报告指出,端口扫描工具通常用来识别并衡量公共互联网上可用的特定服务。使用同样的工具识别和配置RAT对执法机构和操作防御人员而言都是有利的。
当RAT控制器的侦听器端口出现适当的请求时,RAT将返回特殊字节响应。
在某些情况下,甚至基本的TCP三次握手(Three-Way Handshake)就足以引起RAT控制器响应。而唯一响应指的一种指纹,其表明计算机上运行的RAT控制器(控制面板)存在问题。
Malware Hunter爬虫战绩
事发时,研究人员表示,Malware Hunter服务已经发现超过5734个恶意C2服务器,其中18个位于意大利。

根据Malware Hunter服务的当前结果,使用最广泛的RAT为Gh0st RAT(93.5%)和DarkComet(3.7%)。托管C2服务器最多的国家为美国(约72%)。

中国内地托管C2服务器约301个。

上图的搜索结果包含两个部分,左侧是大量的汇总数据包括:
Results map – 搜索结果展示地图
Top services (Ports) – 使用最多的服务/端口
Top organizations (ISPs) – 使用最多的组织/ISP
Top operating systems – 使用最多的操作系统
Top products (Software name) – 使用最多的产品/软件名称
随后,在中间的主页面我们可以看到包含如下的搜索结果:
IP 地址
主机名
ISP
该条目的收录收录时间
该主机位于的国家
Banner 信息
若要查看Malware Hunter结果,可以登录Shodan搜索“category:malware”。
报告称,Shodan的签名还包括RAT,特别是Dark Comet、 njRAT、XtremeRAT、 Poison Ivy和Net Bus。它能识别活动的RAT控制器,一天通常会识别到400至600个RAT控制器,因此,它是一款有价值的情报源。
2015年9月18日以后的结果能从Recorded Future的GitHub页面下载,参见:
https://github.com/recordedfuture
小编温馨提醒,对于新手使用Shodan搜索引擎来说,如果只使用关键字直接进行搜索,搜索结果可能不尽人意。因此需要使用搜索过滤!
常见用的过滤命令如下所示:
hostname:搜索指定的主机或域名,例如 hostname:"google"
port:搜索指定的端口或服务,例如 port:"21"
country:搜索指定的国家,例如 country:"CN"
city:搜索指定的城市,例如 city:"Hefei"
org:搜索指定的组织或公司,例如 org:"google"
isp:搜索指定的ISP供应商,例如 isp:"China Telecom"
product:搜索指定的操作系统/软件/平台,例如 product:"Apache httpd"
version:搜索指定的软件版本,例如 version:"1.6.2"
geo:搜索指定的地理位置,参数为经纬度,例如 geo:"31.8639, 117.2808"
before/after:搜索指定收录时间前后的数据,格式为dd-mm-yy,例如 before:"11-11-15"
net:搜索指定的IP地址或子网,例如 net:"210.45.240.0/24"



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等