cybersheepdog/Adversary-Hunter

# 对手猎人 [](https://shields.io)   Adversary Hunter 是一个免费且由社区驱动的 IOC 情报源，它使用 [Shodan](https://www.shodan.io/) 和 [Censys](https://search.censys.io/)（希望很快支持）搜索来收集已知恶意软件/僵尸网络/C2 基础设施的 IP 地址。 ## 致谢 这基于 [@montysecurity](https://github.com/montysecurity) 开发的 [C2-Tracker](https://github.com/montysecurity/C2-Tracker)。C2-Tracker 已被归档且不再更新。最后一次每周更新是在 2026 年 4 月 6 日。我目前正在逐一验证其中的现有签名，然后更新为新的签名。请关注每周更新节奏。 ## 使用方法 最新的收集结果将存储在 `data/` 目录中。IP 地址按工具名称分开存放，并提供一个包含所有 IP 的 `all.txt` 文件。目前该情报源会在每周周一更新一次。 Censys 和 Shodan 的查询语句位于对应函数中，你可以直接查看。同时我添加了一个功能，允许在文本文件中定义自定义查询，程序会将其导入并添加到预定义查询中。这使得情报和研究团队能够定义他们不希望公开的查询。 ### 调查/历史分析 - 该仓库本身具有版本控制，这意味着你可以搜索历史记录，查看某个 IP 何时出现在结果中。 - 我创建了一个 Python 脚本，用于将这些数据导入 OpenCTI：[此处](https://github.com/cybersheepdog/opencti-c2-tracker) ## 我跟踪什么？ - C2 服务器 - [Ares](https://github.com/sweetsoftware/Ares) - [Brute Ratel](https://bruteratel.com) - [Caldera](https://caldera.mitre.org) - [Cobalt Strike](https://cobaltstrike.com) - [Covenant](https://github.com/cobbr/Covenant) - [Deimos](https://github.com/DeimosC2/DeimosC2) - [Empire](https://github.com/EmpireProject/Empire) - [Hak5 Cloud C2](https://shop.hak5.org/products/c2) - [Havoc](https://github.com/HavocFreamework/havoc) - [Mythic](https://github.com/its-a-feature/Mythic) - [NimPlant](https://github.com/chvancooten/NimPlant) - Oyster - Panda - [Pantegana](https://github.com/cassanof/pantegana) - Poseidon - [POSH](https://github.com/nettitude/PoshC2/tree/517903431ab43e6d714b24b0752ba111f5d4c2f1) - [RedGuard](https://github.com/wikiZ/RedGuard/tree/main) - [RedWarden](https://github.com/mgeeky/RedWarden) - [Sliver](https://github.com/BishopFox/sliver) - [Supershell](https://github.com/tdragon6/Supershell/tree/main) - [Villain](https://github.com/t3l3machus/Villain) - [Vshell](https://github.com/veo/vshell) - 恶意软件 - AcidRain Stealer - Async Rat - Atlandida Stealer - Bandit Stealer - BitRAT - Collector Stealer - DarkCommet Trojan - DarkTrack RAT Trojan - DcRAT - Gh0st RAT Trojan - Hookbot Trojan - Meduza Stealer - Misha Staler (AKA Grand Misha) - Mystic Stealer - NanoCore RAT Trojan - NetBus Trojan - njRAT Trojan - Orcus RAT Trojan - Patriot Stealer - Poison Ivy Trojan - Pyrsmax Stealer - Quasar Rat - RAXNET Bitcoin Stealer - Remcos RAT - [RisePro Stealer](https://github.com/noke6262/RisePro-Stealer) - Sectop RAT - ShadowPad - Spectre Stealer - [SpiceRAT](https://hunt.io/blog/the-secret-ingredient-unearthing-suspected-spicerat-infrastructure-via-html-response) - [SpyAgent](https://www.deepinstinct.com/blog/the-russian-spyagent-a-decade-later-and-rat-tools-remain-at-risk) - Titan Stealer - [Unam Web Panel](https://github.com/UnamSanctam/UnamWebPanel)/SilentCryptoMiner - Vidar Stealer - Viper RAT - ZeroAccess Trojan - 工具 - [BurpSuite](https://portswigger.net/burp) - [DayBreak](https://github.com/tophant-ai/DayBreak) / [DayBreak](https://daybreak.tophant.com/home) - [GoPhish](https://getgophish.com) - [Hashcat](https://hashcat.net/hashcat/) - [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF) - [XMRig Monero Cryptominner](https://xmrig.com) - 僵尸网络 - [7777](https://gi7w0rm.medium.com/the-curious-caseof-the-7777-botnet-86e3464c3ffd) - [BlackNET](https://github.com/suriya73/BlackNET) - Doxerina - Mozi - Scarab ## 本地运行 如果你想托管一个私有版本，请将你的 Shodan API 密钥设置为环境变量 `SHODAN_API_KEY`，并在 `CENSYS_API_ID` 与 `CENSYS_API_SECRET` 中配置你的 Censys 凭证。 ``` python3 -m pip install -r requirements.txt python3 hunter.py ``` ## 贡献 如果你知道任何用于识别对手基础设施的额外 Shodan/Censys 查询，欢迎提交 Issue 或 PR。我不会对提交内容设置严格的限制，但请记住，**准确性至关重要**（重点是保持高真阳性/假阳性比率）。

标签：DNS通配符暴力破解, IOC, IP, OpenCTI, 云资产清单, 僵尸网络, 免费, 历史分析, 基础设施监控, 威胁情报, 安全可观测性, 开发者工具, 开源, 恶意软件, 情报收集, 漏洞研究, 版本控制, 社区驱动, 逆向工具, 逆向工程