如何用FOFA狩猎僵尸网络

Newbee123 22天前

▌一、背景概述

僵尸网络（Botnet）是网络空间中的重大安全威胁，由攻击者通过命令与控制（C2）服务器集中控制大量受感染主机（bot）组成。它们可用于发动分布式拒绝服务（DDoS）攻击、发送垃圾邮件、窃取敏感信息、投递勒索软件等，危害极大。

为了有效防御僵尸网络，安全研究人员通常需要定位其 C2 基础设施，因为 C2 是攻击者下达命令和控制僵尸网络的核心枢纽。传统上，定位 C2 的方法主要依赖于文章提供的 IOC（Indicator of Compromise）信息，如已知的 IP 地址、域名或恶意文件 hash 值，通过这些静态指标追踪僵尸网络的活动和通信路径。然而随着攻防对抗升级，攻击者广泛采用云主机、快速更换域名（DGA）、加密通信等技术隐藏 C2 基础设施，使得传统基于文章提供的 IOC 信息来判断 C2 的方法逐渐失效。静态 IOC 不仅存在滞后性，还无法覆盖快速更替的冗余节点和新兴威胁。因此，仅依赖静态指标已难以满足现代僵尸网络防御的需求，需要采用更主动、基于特征的分析方法来追踪和识别 C2。

通过 FOFA 等资产测绘引擎，分析僵尸网络 C2 服务器特有的 HTTP 响应内容、服务 banner 信息、端口与协议使用习惯、JARM 指纹及 SSL 证书特征等多维指标，可以聚合生成高精度的僵尸网络 C2 指纹。基于此类指纹对全网进行持续扫描，能够有效识别当前时刻下活跃的 C2 基础设施，还可主动发现尚未被公开威胁情报平台或分析文章收录的可疑资产。这些资产虽未被明确标注，但极有可能是处于活跃或预备状态的 C2 节点。通过指纹匹配实现对这些“灰色资产”的重点监测，能够显著提升对僵尸网络威胁的早期感知与主动防御能力，实现对 C2 基础设施的更全面覆盖和预测性防护。

▌二、僵尸网络运作原理

僵尸网络的核心在于其命令与控制（C2）体系，这一体系既包含整体的架构设计，也涵盖节点与控制端之间的通信过程及所依赖的协议选择。不同的架构模式决定了僵尸网络的指挥效率与生存能力，而通信机制则直接影响其隐蔽性和可追踪性。因此，从 C2 架构、通信流程到具体协议的系统化分析，是理解僵尸网络运作方式与开展有效防御的基础。

2.1僵尸网络的构成

一个典型的僵尸网络包含以下三个核心组件，三者协同运作，构成完整的控制链。

（1）攻击者（Botmaster）也称为操控者或僵尸牧人，是发动攻击的源头。攻击者通过C2服务器间接控制所有受感染主机，下达指令以执行恶意活动。

（2）命令与控制服务器（C2 Server）C2服务器是僵尸网络的中枢神经系统，负责管理与僵尸程序之间的通信。攻击者通过C2服务器发送指令、收集数据、分发更新及任务，并回收攻击成果。典型的C2框架有：Cobalt Strike、me tasploit fr amework、Sliver。

（3）僵尸程序（Bot）与僵尸设备（Zombie）

僵尸程序（Bot）：指被植入受害者设备中的恶意软件代理本身，其功能是接收、解析并执行来自C2服务器的指令。典型的Bot有Cobalt Strike Beacon、me tasploit Meterpreter、Sliver Implant。

僵尸设备（Zombie）：指已被僵尸程序植入并控制的受害设备，俗称“肉鸡”或“傀儡机”。一旦设备被感染，其中的僵尸程序会持续“呼叫回家”（call back），与C2服务器保持通信，使该设备成为一台可被远程操控的“僵尸”节点，并纳入僵尸网络攻击资源中。

2.2 C2架构

在威胁狩猎中，准确理解对手的C2架构是分析成功的关键。僵尸网络的命令与控制（C2）架构不仅决定了其隐蔽性和生存能力，也直接影响可用的追踪和检测方法。根据攻击者的策略和目标，C2架构可分为集中式、分布式（P2P）和混合式三种主要类型。

（1）集中式C2架构

依赖单一的指挥服务器来管理所有受感染设备。这种架构管理简单，但存在单点故障的风险，一旦C2服务器被发现或封堵，整个网络将瘫痪。典型的例子包括早期的Zeus僵尸网络，它利用集中式C2服务器向感染的受害计算机下发银行账户窃取指令，依赖少量高价值服务器进行控制。

（2）分布式C2架构（P2P）

通过节点之间的点对点通信进行指挥控制，没有单一中心服务器，增强了抗打击能力和隐蔽性。即便部分节点被隔离，网络仍能自我维持和传播命令。典型案例包括Storm僵尸网络，它通过P2P网络进行指令传播和更新，每个受控节点都可以充当信息中继，极大提高了网络的存活能力和难以追踪性。

（3）混合式C2架构

结合集中式和分布式的特点，通常有核心服务器用于重要指令管理，同时允许节点之间进行P2P通信以增强冗余和隐蔽性。这种方式既能保持管理的集中性，又增加了网络的抗打击能力和生存率。典型案例是Mirai僵尸网络，其利用集中式C2服务器进行设备控制，同时部分节点可通过互联设备扫描和传播实现快速感染和控制大规模IoT设备。

了解这些C2架构类型对于识别和防御网络攻击至关重要。攻击者不断演化其C2策略，以提高攻击的隐蔽性和抗干扰能力。因此，网络安全防护需要不断更新策略，以应对日益复杂的威胁。

2.3 僵尸网络通信的三个阶段

在攻击过程中，僵尸网络的生命周期包含多个阶段，每个阶段都可能暴露其通信特征，例如基础设施的静态属性（如 JARM 指纹、banner 响应或特定端口）。这些特征在C2服务器处于活跃状态且未经过充分伪装或定制化修改的情况下普遍存在，因此可作为威胁狩猎中的关键指标。下文将围绕感染与上线、指令下发和持续通信这三个关键阶段，分别介绍其核心任务与典型通信特征暴露点。

（1）感染与上线阶段

感染与上线阶段是攻击的起始环节，主要目的是使僵尸程序与C2服务器建立初始联系。在此阶段，受感染的设备会主动向外连接C2服务器，其目标地址可能是预设的静态域名、IP或由域名生成算法（DGA）动态生成的域名。为实现通信，C2服务器需开放端口并响应请求，这一过程会暴露端口状态、协议Banner和握手包特征，从而为网络监测和空间测绘系统提供可捕获的痕迹。

（2）指令下发阶段

指令下发阶段的核心任务是传输攻击指令。

为确保通信隐蔽，该阶段通常采用TLS等加密协议。在密钥协商和握手过程中，C2服务器的特定行为——如密码套件组合、TLS扩展顺序和版本选择——会形成JARM指纹。由于该指纹具备跨会话稳定性，它成为追踪和关联同一C2基础设施的关键标识，即便服务器地址频繁变更。

（3）持续通信阶段

持续通信阶段旨在维持C2信道的长期活跃和可靠。

僵尸程序通过心跳包、轮询机制或长连接与服务器保持定期通信。在此期间，服务器端框架可能暴露出包括特殊HTTP头、默认错误信息、特定交互模式等特征。若使用HTTPS协议，SSL证书信息（如颁发者、序列号等）也会在通信中持续可见，这些证书往往表现出自签名或不合规的模式，成为检测识别的重要依据。

▌三、僵尸网络的关键数字指纹

要精准定位僵尸网络，首先必须理解其C2服务器在与客户端（肉鸡）通信时会暴露哪些可被远程检测的、相对稳定的“指纹”。这些指纹源于其实现的协议栈、配置文件和软件代码，即便攻击者更换IP地址，这些特征也往往保持不变。

应当注意的是，单一特征往往易导致误报或误判，因为相同或相似的网络特征可能同时出现在合法服务与恶意基础设施中，缺乏足够区分度，故要结合多个字段进行多维度验证，提高资产聚合的准确性。

3.1 通信协议

僵尸网络在选择命令与控制（C2）协议时，通常基于隐蔽性、兼容性、可维护性及通信效率等方面的考量。不同协议服务于不同的攻击阶段和战术目标，同时在实现功能的过程中会不可避免地暴露可被检测的特征。以下分析几种典型协议的使用动机、功能及其特征暴露机制。

（1）IRC 协议

使用原因与功能：IRC协议被早期僵尸网络（如Agobot、Sdbot）广泛采用，主要因其具有成熟的实时通信机制、简单的指令广播能力和良好的跨平台兼容性。攻击者利用IRC频道作为命令分发渠道，能够高效地向大量僵尸主机发送统一指令。

暴露特征：该协议的使用会呈现明显的技术特征，包括固定端口（如6667/TCP）、连接初始阶段服务端返回的特定Banner信息、以及明文传输的控制指令（如NICK、JOIN、PRIVMSG等）。这些特征易于被网络流量检测系统或空间测绘设备捕获。

（2）HTTP/HTTPS 协议

使用原因与功能：现代僵尸网络（如Emotet、TrickBot）普遍采用HTTP/HTTPS协议，旨在将恶意流量伪装成普通Web访问，从而绕过网络防火墙和流量过滤机制。HTTPS加密传输能有效隐藏指令内容，提高通信的隐蔽性。

暴露特征：尽管内容可能被加密，但仍会暴露诸多静态特征，例如TLS握手阶段产生的JARM指纹、服务器证书信息（如自签名证书的相同组织名、 issuer等），以及HTTP头部中的异常字段（如非常规的Accept、User-Agent或Server类型）。这些特征可用于指纹识别和基础设施关联分析。

（3）Telnet 协议

使用原因与功能：IoT类僵尸网络（如Mirai、Gafgyt）常使用Telnet协议，主要针对弱口令或默认凭据的物联网设备进行暴力破解和传播。Telnet协议简单易实现，适用于资源受限的设备环境。

暴露特征：其通信特征显著，包括默认23/TCP端口的连接行为、固定的登录提示符（如"login:"、"Password:"）以及暴力破解阶段的大量失败尝试日志。这些行为特征极易被入侵检测系统或安全日志分析平台识别。

（4）SSH 协议

使用原因与功能：部分僵尸网络（如RapperBot）采用SSH协议进行远程控制，主要看中其合法的远程管理身份和端到端加密特性，能有效规避传统流量检测。

暴露特征：虽然通信内容加密，但在协议协商阶段会明文传输版本标识（如"SSH-2.0-OpenSSH_7.4"），若大量僵尸主机连接同一C2服务器，其Banner信息或密钥交换参数可能存在一致性，从而为网络行为分析提供可观测指标。

3.2 通信端口

通信端口是僵尸网络 C2 活动的重要特征之一。不同家族在实现远程控制时往往表现出相对固定的端口偏好，例如 Mirai 常通过 Telnet 的 23/tcp 端口进行设备渗透与控制，基于 IRC 的僵尸网络则多依赖 6667/tcp 端口建立会话。这类“端口指纹”在威胁狩猎与基础设施聚合中具有较高参考价值。

然而，部分新型僵尸网络逐渐转向使用非标准端口，以此逃避基于端口规则的传统检测方法。例如，《The Hacker News》2025 年 8 月 23 日的报道指出，Gayfemboy 僵尸网络在 C2 通信中采用 47272 端口，并结合 UDP、TCP 与 ICMP 协同发起 DDoS 攻击。这一现象表明，攻击者正通过非常规端口与多协议并用的方式增加流量分析与检测的复杂度，从而提升僵尸网络的隐蔽性和生存能力。

3.3 JARM指纹

JARM 是一种高效的 TLS 服务端指纹识别技术，通过向目标服务器发送特定的 TLS 客户端 Hello 数据包，并分析返回的响应信息，生成固定长度的哈希值作为指纹。由于不同服务在 TLS 实现和配置上存在差异，这些指纹具有较强的区分度。

在 Emotet 僵尸网络C2 的部署中，由于使用高度一致的软件和自动化配置，其 TLS 握手过程产生的 JARM 指纹呈现明显的集群特征，可用于识别相关资产。文中提及的一条JARM 指纹为：

15d3fd16d29d29d00042d43d0000009ec686233a4398ba334ba5e6234a01

然而，单独依赖 JARM 指纹可能导致误报，因为不同服务器可能具有相同的 TLS 配置或软件版本。因此，需要结合端口或证书等其他特征进行验证。

在《Keeping Up with the Emotets: Tracking a Multi-Infrastructure Botnet》[引用2]一文中，研究者指出，仅在 443 端口上出现的该 JARM 指纹，才能确认为 Emotet C2 的特征。

3.4 SSL证书指纹

SSL/TLS 证书用于身份验证和加密通信，而 C2 服务器使用的证书具有重要分析价值。恶意软件通常为便捷和降低成本，使用自签名证书而非权威机构签发的证书，其颁发者（Issuer）和主体（Subject）字段常包含固定、异常或用于伪装的字符串（如 CN=localhost）。根据 Sekoia.io TDR 团队的研究，PolarEdge 僵尸网络样本显示出明显的证书特征，可用于识别其基础设施并追踪恶意活动。

3.5 HTTP 响应头

当 C2 服务器以 Web 形式提供服务时，其 HTTP 响应头可能泄露软件和实现信息。一些僵尸网络的控制面板或定制 HTTP 服务会呈现异常的响应头组合或特定值，这些均可作为识别特征。

Banner 信息是在建立 TCP 连接后服务器立即返回的消息，其中可能包含版本号或特征字符串。将响应头和 Banner 特征与端口信息结合分析，可用于识别和追踪恶意 C2 基础设施。

如在对 7777 僵尸网络的分析中，根据 Team Cymru 的研究（https://www.team-cymru.com/post/botnet-7777-are-you-betting-on-a-compromised-router），可通过端口与 Banner 响应相结合的方式识别其 C2 基础设施。文中指出，当端口 11288 开放时，服务器响应通常包含特定横幅 “\x05\xff”。

基于这一特征，可以构建针对性的 FOFA 搜索语法，从而聚合出近一年内仍处于活跃状态的相关资产。这些资产不仅为僵尸网络的规模评估和基础设施画像提供了数据支撑，也可作为后续持续监测和威胁追踪的重点目标。

port="11288" && banner="\x05\xff"

▌四、基于FOFA狩猎僵尸网络（以Mirai僵尸网络为例）

理论必须与实践结合。以下是将威胁情报转化为可基于FOFA规则聚合僵尸网络资产的具体操作流程。

4.1 第一步：获取情报特征

近日，Qualys威胁研究团队披露了Mirai僵尸网络的新变种——Murdoc（亦称Corona Mirai）正发起大规模攻击活动。该僵尸网络继承了Mirai家族的典型特征，并展现出更高的复杂性和针对性。

报告指出，Murdoc的攻击活动具有一个鲜明的技术特征：在成功受侵设备的HTTP响应体中会包含特定字符串“murdoc_botnet”。这一特征不仅作为攻击成功的标识，更成为追踪该僵尸网络感染范围、分析其攻击手法及识别受害设备的关键技术指标，为防御方提供了重要的威胁狩猎切入点。

分析表明，响应体中出现的murdoc_botnet字符串直接暴露了攻击者的入侵手法。攻击者利用设备漏洞获得控制权后，并非单纯植入恶意软件，而是直接篡改了系统的核心账户配置文件。其在设备用户管理中创建了一个具有最高权限（SUPERVISOR）的永久性后门账户，并将密码固定设置为murdoc_botnet。

这一篡改行为导致设备的Web服务配置被破坏：当任何用户访问受感染设备的根路径（/）时，Web服务器不再返回正常的登录页面，而是错误地将已被恶意修改的系统账户配置文件（xm l格式）作为响应内容输出。因此，murdoc_botnet字符串出现在响应体中，实质上是系统权限已被恶意控制、持久化后门已建立的直接证据，这也成为识别失陷设备的关键特征。

4.2 第二步：将特征转换为FOFA规则

4.2.1 情报特征转换

通过上述分析可知，响应体中出现 "murdoc_botnet" 字符串可以视为受感染设备的一个显著特征。因此，在 FOFA 平台上使用规则进行搜索，可以聚合到一批疑似感染的资产。

body="murdoc_botnet"

然而，响应体中出现 "murdoc_botnet" 只能作为资产的单一特征，聚合结果中可能存在误报，因此仍需结合其他字段进行多维度分析，以提高准确性。

4.2.2 基于FOFA进行特征扩展与误报排除

通过对聚合资产的服务器型号进行分析发现，大多数匹配资产运行 "Linux/2.x UPnP/1.0 Avtech/1.0" 这个型号的服务器，这与 Murdoc 主要针对 AVTECH 设备的攻击特征相符。

对于其他服务器型号的资产，我们最初怀疑可能是近期出现了新的变种，使用了不同的服务器型号。然而进一步分析表明，这些资产实际上属于干扰数据，例如仅为一篇关于 Murdoc 僵尸网络的分析文章，其响应体中包含 "murdoc_botnet" 字段。针对这部分资产，需要予以排除。

因此，本处增加了语法限定，通过限定服务器型号来排除干扰资产造成的误报。

server="Linux/2.x UPnP/1.0 Avtech/1.0"

综合分析表明，可以通过响应体中出现 "murdoc_botnet" 字段与服务器型号为 Linux/2.x UPnP/1.0 Avtech/1.0 这两个特征的结合来进行判断。前者表明攻击者利用 "murdoc_botnet" 作为默认密码创建后门账户，从而导致受感染设备在 Web 端直接呈现 xm l 内容，攻击行为在响应体中得到直观体现；后者则显示攻击者将 AVTECH 设备作为主要攻击目标。通过这两个特征的结合分析，同时对干扰资产进行排除，能够更准确地识别真实受感染的设备。

最终聚合搜索语法如下：

body="murdoc_botnet" &&server="Linux/2.x UPnP/1.0 Avtech/1.0"

4.3 第三步：利用“FOFA统计模块”分析资产分布与演变趋势

根据上一步得到的 FOFA 规则，在统计模块查看全球数据可知，受感染资产的独立 IP 数量超过 1600 个，其中以墨西哥和马来西亚的数量最多；攻击主要集中在 80 端口。

通过将 Qualys 报告的数据与当前调查结果进行比较，Murdoc 僵尸网络的感染规模显着增加。2 月份，据报道受感染的设备数量超过 5,000 台，但到 2025 年 8 月下旬，这一数字已上升至 9,000 多台。该僵尸网络继续以基于 Linux 的系统为目标，主要利用端口 80，最近还在端口 28017 上观察到活动。这些资产在过去一年内活跃，为进一步跟踪僵尸网络的基础设施提供了宝贵的线索。

4.4 彩蛋：僵尸网络感染链进一步追踪（body响应体发现感染链）

4.4.1 感染链分析

在进一步分析受感染设备的响应体时发现，部分 Murdoc 僵尸网络资产除了创建后门外，还会通过注入 wget 命令，从仿冒域名（如 googlevoice.net）或 IP 地址（如 38.6.178.140）等载荷投递服务器下载恶意脚本。这些服务器在漏洞利用后的感染链中负责投递恶意载荷，是其 C&C 基础设施的核心组成部分，并形成多个感染链。与此同时，攻击者还通过配置不同生命周期的后门账户（如 INFINITE 或 5 MIN），兼顾持久化控制与快速感染。

我们将该域名和 IP 在威胁情报平台上进行检测发现，其均被标记为恶意节点，其中 IP 明确归类为 Mirai 家族的 C2 基础设施。

实际上，该架构符合以 Mirai 为代表的混合式 C2 模式，即集中式载荷投递与分布式僵尸节点传播相结合：恶意载荷由中心服务器统一分发，实现攻击载荷的集中管控与快速迭代；实际感染与横向移动则由已沦陷设备以分布式方式执行，受控设备定期连接 C2 获取指令，对本地网络及公网目标发起扫描与暴力破解，并将新感染设备信息上报 C2；形成“集中指挥、分布式攻击、节点互传”的扩散机制，显著提高僵尸网络的抗打击与生存能力。

4.4.2 跟踪预警

应当注意的是，wget 下载路径中的 IP 和域名由于直接参与恶意代码的分发与执行，本身已具备 C2 属性，应当列为重点观察对象。

我们对近一年内仍处于活跃状态的受感染资产进行分析，从其 body 中提取出 wget 路径涉及的 IP 和域名，并在多个威胁情报平台上进行了验证。结果显示，大部分资产已被标记为恶意，但仍有部分资产尚未被识别，本处举例两条。这类资产为高度可疑的 C2 基础设施，需重点观察并持续跟踪。

1. 恶意域名：

www.hon.party

威胁情报平台查询结果：

2. 恶意IP：

185.148.38.2

威胁情报平台查询结果：

▌结论与总结

网络空间测绘为僵尸网络的狩猎与分析提供了新的思路。传统依赖静态 IOC 的黑名单方式往往存在滞后性，难以及时发现攻击者新部署的基础设施。而基于 FOFA 等测绘平台，研究人员能够利用证书字段、JARM 指纹、端口习惯及 Banner 信息等多维特征构建搜索规则，从而在全网范围内实时发现与已知威胁高度相关的资产。进一步结合特征聚合与模式分析，还可以提前识别潜在的 C2 节点，实现对僵尸网络的预测性监测与主动防御。