来源：https://securitydebriefing.com/2019/09/13/malware-hunter/

Shodan在安全研究人员中是一个很受欢迎的工具，它可以扫描互联网，寻找属于连接设备的开放端口。

2017年，Shodan与Recorded Future合作，主动寻找僵尸网络的命令与控制(C2s)服务器，专门用于远程访问木马。

在我们开始之前，这里有一些你应该知道的定义

1、僵尸网络——僵尸网络是一组连接在互联网上的设备的集合，这些设备被一种常见的恶意软件感染和控制，通常是RAT病毒

2、远程访问木马- RAT是一种恶意程序，包括一个后门，以管理控制的目标计算机。

3、命令与控制服务器(C&C或C2服务器)——控制机器人(计算机、智能家电或智能手机)的集中式机器

一、什么是恶意软件猎人?

恶意软件猎人是一个专门的Shodan工具，在互联网上寻找僵尸网络的命令和控制服务器。

它通过假装是一个向C2服务器报告的受感染客户机来实现这一点It does this by pretending to be an infected client that’s reporting back to a C2 server。由于我们不知道C2位于何处，所以爬虫将有效地向Internet上的每个IP报告，就好像目标IP是一个C2一样。如果爬虫从IP得到一个积极的响应，那么我们就知道它是一个C2。

二、为什么我的安全控制系统发出警报?

恶意软件猎人不执行任何攻击，它发送的请求不包含任何恶意内容。您的安全设备发出警报的原因是，它使用的签名只应该用于离开网络(出口)的流量，而不正确地应用于进入网络(进口)的流量。

换句话说:该安全产品使用了一个签名，用于检测您网络上的计算机何时受到感染并向C2报告。然而，这个特征也被应用到所有进入你网络的流量上这就是为什么它会发出假警报。

三、威胁情报来源

当Shodan发现端口时，该工具返回横幅信息，这在识别RAT控制器时非常有用。当在RAT控制器监听端口上提出正确的请求时，RAT会返回特定的字符串。在大多数情况下，一个基本的TCP三路握手就足以引起RAT控制器响应。独特的响应是一个指纹，表明它是一个RAT控制器

作为一名安全研究人员或分析师，你可以通过搜索“category: malware”找到这些恶意的C2服务器。这个搜索将导致Malware-Hunter找到的所有主机对它们的签名做出响应，从而有效地确认它们是C2服务器。

您可以在上图中看到，在2019年9月12日，扫描了417台主机，匹配各种病毒签名，如njRAT木马。

您可以将数据导出为CSV、JSON或XML格式，并将其输入到SIEM或监控工具中，以便在日志中检测到进出这些机器的任何流量时触发警报。

IP，标识，时间戳扫描，主机名，位置，操作系统和组织

此外，网络管理员可以主动地将该列表导入到您的周边防火墙阻止列表中，从而在网络钓鱼活动开始之前主动地阻止它们。