2021年1月7日，威胁情报厂商Recorded Future发布了关于2020年度全网范围内远控木马回连服务器的总结分析报告。其基于2020年，收集的80多个恶意软件家族的10,000多个独特的命令和控制服务器作为数据支撑。

根据数据显示，命令和控制服务器的寿命（即服务器托管恶意基础结构的时间）平均为54.8天。也就是说，一台攻击者的C2服务器平均存活2个月就不用了。这对于威胁情报数据的生命周期（攻击者IP或域名资产过期问题）有很大的参考意义。

此外，网络基础架构上拥有最多命令和控制服务器的托管提供商都位于美国：Amazon，Digital Ocean和Choopa。

部署最多C2服务器的恶意软件家族为：CobaltStrike、Metasploit和PupyRAT

其他远程木马喜爱用的主机商。

APT组织常用恶意软件家族表对照。

该报告可以作为远控服务器数据参考来源。同时，也可以确认报告里面提到的恶意软件服务器都是有方法可以进行识别。

参考链接：

https://www.recordedfuture.com/2020-adversary-infrastructure-report/

其他识别远控服务器的方法可以查阅这些文章

[1]https://github.com/Sentinel-One/CobaltStrikeParser/blob/master/parse_beacon_config.py

[2]https://research.nccgroup.com/2020/06/15/striking-back-at-retired-cobalt-strike-a-look-at-a-legacy-vulnerability

[3]https://mp.weixin.qq.com/s/BLM8tM88x9oT4CjSiupE2A
[4]https://www.randhome.io/blog/2020/12/20/analyzing-cobalt-strike-for-fun-and-profit/

[5]https://www.fireeye.com/blog/threat-research/2020/07/scandalous-external-detection-using-network-scan-data-and-automation.html

[6]https://github.com/slaeryan/DetectCobaltStomp

其中，从对该公司的其他文章可以看出，其对每种木马都进行了网络特征提取。

与上文一样同样识别各个主机商等。

并通过该特征获取到大量关于木马的回连IP资产，汇成表格。这个是2015年的图，这么多年过去了，依托这套流程Recorded Future着实收集了不少威胁情报。

上期(可点击)：Telegram附近的人功能存在安全风险，可被用于探测用户位置