中国主机托管生态系统中的恶意软件 C2 基础设施分析
一、概述
1. 研究背景
A. 问题提出
威胁狩猎通常从单个指标开始,如可疑 IP 地址、信标域名或已知恶意软件家族。然而,单独查看这些指标会导致底层基础设施难以被发现。
B. 核心发现
Hunt.io 在分析中国主机托管环境中的恶意活动时,反复观察到相同的网络和提供商出现在不相关的活动中。商品化恶意软件、网络钓鱼操作和国家相关工具经常在同一基础设施中并存。
C. 研究价值
本研究揭示了基于指标 hunting 的局限性,展示如何通过主机为中心的方法在国家级尺度上观察恶意基础设施集群和持久性。
2. 研究方法
A. 数据来源
Host Radar 平台聚合了 C2 检测、网络钓鱼识别、开放目录扫描和 IOC 提取的信号,并与主机托管、ASN 和网络所有权上下文进行关联。
B. 分析周期
2025 年 10 月 5 日至 2026 年 1 月 3 日,共计 90 天。
C. 覆盖范围
48 个中国基础设施提供商和网络实体。
二、核心发现
1. 关键数据
A. 总体规模
- C2 服务器:18,000+ 个
- 网络钓鱼站点:2,837 个
- 恶意开放目录:528 个
- 公共 IOC:134 个
- 恶意工件总数:21,629 个
B. 分布比例
- C2 基础设施占约 84%
- 网络钓鱼基础设施占约 13%
- 恶意开放目录和公共 IOC 合计占不到 4%
2. 提供商分布
A. Top 5 提供商
| 排名 | 提供商 | C2 服务器数量 | 占比 |
|---|---|---|---|
| 1 | 中国联通 | 9,100 | 约 50% |
| 2 | 阿里云 | 3,300 | 约 18% |
| 3 | 腾讯 | 3,300 | 约 18% |
| 4 | 中国电信 | 620 | 约 3% |
| 5 | 京东 | 385 | 约 2% |
B. 基础设施集中度
pie title 中国 C2 服务器分布(Top 5 提供商)
"中国联通" : 50
"阿里云" : 18
"腾讯" : 18
"中国电信" : 4
"京东" : 2
"其他" : 8
三、恶意基础设施分布
1. 按提供商分析
A. 中国联通
- C2 服务器:9,000 个(90 天内)
- 恶意开放目录:30 个
- IOC:11 个
- 特点:单一提供商占所有中国 C2 基础设施的近一半
B. 阿里云
- C2 服务器:3,300 个
- 网络钓鱼站点:37 个
- 恶意开放目录:0 个
- IOC:0 个
- 特点:云环境主要用于弹性 C2 操作,而非暴露工件
C. 腾讯
- C2 服务器:3,300 个
- 网络钓鱼站点:2,400 个
- 恶意开放目录:122 个
- IOC:26 个
- 特点:多样化的恶意足迹,大量滥用社交媒体、游戏和电商平台
D. 中国电信
- C2 服务器:617 个
- 恶意开放目录:42 个
- 特点:国有电信基础设施的定向利用
E. 京东
- C2 服务器:385 个
- 恶意开放目录:0 个
- IOC:0 个
- 网络钓鱼站点:0 个
- 特点:零售网络相对较少被滥用
2. 基础设施类型分布
pie title 中国恶意基础设施类型分布
"C2 服务器" : 84
"网络钓鱼" : 13
"开放目录" : 2
"公共 IOC" : 1
四、恶意软件家族分析
1. Top 10 恶意软件家族
| 排名 | 恶意软件家族 | C2 IP 数量 | 类型 |
|---|---|---|---|
| 1 | Mozi | 9,427 | IoT 僵尸网络 |
| 2 | ARL | 2,878 | 红队框架 |
| 3 | Cobalt Strike | 1,204 | 商业 C2 框架 |
| 4 | Vshell | 830 | 后门 |
| 5 | Mirai | 703 | IoT 僵尸网络 |
| 6 | Gophish | 420 | 网络钓鱼框架 |
| 7 | NanoCore | 380 | RAT |
| 8 | AsyncRAT | 290 | RAT |
| 9 | Acunetix | 180 | 漏洞扫描 |
| 10 | XMRig | 150 | 加密货币挖矿 |
2. 恶意软件类型分布
graph TD
A[中国恶意软件 C2 基础设施] --> B[IoT 僵尸网络 52%]
A --> C[红队/后门框架 28%]
A --> D[RAT 远程访问 12%]
A --> E[网络钓鱼/扫描 5%]
A --> F[加密挖矿 3%]
B --> B1[Mozi]
B --> B2[Mirai]
C --> C1[ARL]
C --> C2[Cobalt Strike]
C --> C3[Vshell]
D --> D1[NanoCore]
D --> D2[AsyncRAT]
E --> E1[Gophish]
E --> E2[Acunetix]
F --> F1[XMRig]
五、基础设施提供商风险分析
1. 最高恶意软件多样性提供商
| 排名 | 提供商 | 恶意软件家族数 | C2 端点数 |
|---|---|---|---|
| 1 | 腾讯云计算(北京) | 60 | ~2,000 |
| 2 | 阿里云计算 | 52 | ~1,956 |
| 3 | 亚太网络信息中心(APNIC) | 27 | 数据不足 |
| 4 | 华为公有云服务 | 20 | 数据不足 |
2. 系统性风险评估
graph LR
A[高风险提供商] --> B[腾讯云]
A --> C[阿里云]
A --> D[APNIC]
A --> E[华为云]
B --> B1[60 恶意软件家族]
B --> B2[2000+ C2 端点]
B --> B3[重复利用跨活动]
C --> C1[52 恶意软件家族]
C --> C2[1956+ C2 端点]
C --> C3[云环境弹性 C2]
D --> D1[27 恶意软件家族]
D --> D2[区域网络中心]
E --> E1[20 恶意软件家族]
E --> E2[企业云服务]
六、真实恶意活动案例
1. 商品化 RAT 和传统恶意软件
A. NanoCore 基础设施
- 托管提供商:Wowrack.com
- IP:192.169.69.26
B. Cobalt Strike 活动
- 托管提供商:Starry Network Limited
- IP:45.155.220.44
- 背景:出现在每周威胁基础设施调查中
C. AsyncRAT 活动
- 托管提供商:湖北飞讯网络科技有限公司
- IP:160.202.245.232
- 来源:threatfox.abuse.ch
2. 网络钓鱼驱动的恶意软件交付
A. 印度所得税主题网络钓鱼
- 托管提供商:北京百度网通科技有限公司
- IP:45.113.192.102
- 交付载荷:NSecRTS.exe
B. 印度车辆车主网络钓鱼
- 托管提供商:腾讯云
- IP:101.33.78.145、43.130.12.41
- 手段:SMS 威胁未缴电子罚单法律诉讼
3. 僵尸网络和 OT 威胁
A. Mirai 僵尸网络
- 托管提供商:ZhouyiSat Communications
- IP:185.245.35.68
- 目标:物联网设备
B. 路由器定向攻击
- 托管提供商:ZhouyiSat Communications
- IP:23.177.185.39
- 背景:针对暴露网络设备的 OT 利用活动
4. 漏洞利用和加密挖矿
A. React2Shell 利用
- 托管提供商:XNNET LLC
- IP:43.247.134.215
- 交付载荷:XMRig 加密挖矿机、Cobalt Strike
B. 华为云可疑活动
- IP:123.60.143.74、124.70.52.134
- 关联:L3MON RAT
5. 学术和研究基础设施
A. CERNET 上的 RondoDox 僵尸网络
- 托管提供商:中国教育和科研计算机网网络中心
- IP:202.120.234.124、202.120.234.163
- 背景:React2Shell 利用活动
6. APT 相关活动
A. Cobalt Strike Beacon
- 托管提供商:中国电信北京天津河北大数据产业园分公司
- IP:117.72.242.9
- 用途:横向移动或长期访问
B. BRONZE HIGHLAND(Evasive Panda)活动
- 托管提供商:泉州
- IP:106.126.3.56、106.126.3.78
- 载荷:MgBot
C. Gold Eye Dog(APT-Q-27)活动
- 利用的 AWS S3 存储桶交付签名后门
- 功能:键盘记录、屏幕捕获、完整系统命令执行
D. Silver Fox 活动
- 托管提供商:阿里巴巴(美国)科技有限公司
- IP:43.100.123.207
- 目标:印度组织
- 载荷:Valley RAT
7. 零日漏洞利用
A. Gogs CVE-2025-8110
- 允许认证用户通过绕过符号链接保护实现 RCE
- 自动化活动已入侵约 50% 的暴露实例
- 载荷:Supershell C2(106.53.108.81)
- 用途:持久反向 SSH 访问
七、恶意活动时序分析
sequenceDiagram
participant A as 攻击者
participant H as 托管提供商
participant V as 受害者
participant C2 as C2 服务器
Note over A,C2: 阶段 1:基础设施建立
A->>H: 租用云服务器/VPS
H-->>A: 分配 IP 地址
Note over A,C2: 阶段 2:恶意软件部署
A->>C2: 部署 C2 框架
A->>V: 网络钓鱼/漏洞利用
V->>C2: 建立连接
Note over A,C2: 阶段 3:恶意活动
C2->>V: 发送命令
V->>C2: 回传数据
A->>C2: 收集数据
Note over A,C2: 阶段 4:基础设施轮换
A->>H: 释放旧 IP
A->>H: 租用新 IP
H-->>A: 新 IP 地址
八、网络基础设施滥用模式
1. 高信任网络利用
A. China169 骨干网
- DarkSpectre 活动托管于此
- IP:58.144.143.27
- 影响:全球数百万感染
B. CHINANET
- 中国电信骨干网络
- 被用于各种 C2 活动
C. CERNET
- 教育和科研网络
- 高带宽优势被利用
2. 云平台滥用特征
graph TB
A[云平台滥用] --> B[阿里云]
A --> C[腾讯云]
A --> D[华为云]
B --> B1[弹性 C2 操作]
B --> B2[网络钓鱼托管]
B --> B3[无暴露工件]
C --> C1[多样化服务滥用]
C --> C2[社交媒体平台]
C --> C3[游戏/电商]
D --> D1[企业云服务]
D --> D2[APT 基础设施]
九、Host Radar 数据聚合模型
1. 工作原理
graph LR
A[C2 检测] --> E[Host Radar 聚合层]
B[网络钓鱼识别] --> E
C[开放目录扫描] --> E
D[IOC 提取] --> E
E --> F[主机托管提供商]
E --> G[ASN 信息]
E --> H[网络所有权]
F --> I[统一情报视图]
G --> I
H --> I
I --> J[基础设施分析]
I --> K[时间序列分析]
I --> L[提供商风险评估]
2. 分析优势
A. 超越单个指标
- 不依赖单个 IP 或域名
- 揭示跨活动的基础设施重用模式
B. 长期滥用模式可见
- 即使 IP 地址频繁轮换
- 长期模式仍然可见
C. 国家级分析
- 跨提供商、网络和时间窗口透视
- 实用且可重复的基础设施分析
十、结论与建议
1. 核心结论
A. 基础设施高度集中
- 少数大型电信和云提供商占大部分 C2 活动
- 中国联通单一提供商占近 50%
B. 框架驱动而非碎片化
- 前 10 大恶意软件家族占绝大多数 C2 服务器
- C2 滥用集中、可重复、框架驱动
C. 网络犯罪与 APT 共存
- 中国基础设施支持网络犯罪和 APT 活动
- RAT、加密挖矿机、网络钓鱼框架、国家相关恶意软件共存
D. 高信任网络被积极滥用
- China169 骨干网、CHINANET、CERNET
- 电信和学术基础设施被利用
2. 安全建议
A. 安全团队
- 采用主机为中心的威胁狩猎方法
- 专注于共享基础设施而非单个恶意软件变体
- 实施基础设施级别的检测策略
B. 提供商
- 加强 C2 基础设施监控
- 建立跨活动关联分析能力
- 与威胁情报平台合作
C. 研究人员
- 使用 Host Radar 等工具进行大规模分析
- 关注提供商级别的滥用模式
- 发布基础设施级别情报
3. 未来方向
A. 检测改进
- 更有弹性的检测方法
- 更快的优先级排序
- 基础设施级别的破坏策略
B. 数据共享
- 大规模遥测与灵活分析工作流结合
- 分析师驱动的调查工作流