央視網(wǎng)消息:據(jù)國(guó)家網(wǎng)絡(luò)安全通報(bào)中心公眾號(hào)消息�,中國(guó)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通過(guò)支撐單位發(fā)現(xiàn)一批境外惡意網(wǎng)址和惡意IP,境外黑客組織利用這些網(wǎng)址和IP持續(xù)對(duì)中國(guó)和其他國(guó)家發(fā)起網(wǎng)絡(luò)攻擊����。這些惡意網(wǎng)址和IP都與特定木馬程序或木馬程序控制端密切關(guān)聯(lián)���,網(wǎng)絡(luò)攻擊類(lèi)型包括建立僵尸網(wǎng)絡(luò)�、后門(mén)利用��、竊密等���,對(duì)中國(guó)國(guó)內(nèi)聯(lián)網(wǎng)單位和互聯(lián)網(wǎng)用戶(hù)構(gòu)成重大威脅���。相關(guān)惡意網(wǎng)址和惡意IP歸屬地主要涉及:美國(guó)���、瑞典、印度����。主要情況如下:
一、惡意地址信息
�。ㄒ唬⿶阂獾刂罚篸dos.8ucddos.com
關(guān)聯(lián)IP地址:38.165.82.8
歸屬地:美國(guó)/加利福尼亞州/圣何塞
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:XorDDoS
描述:這是一種Linux僵尸網(wǎng)絡(luò)病毒,主要通過(guò)內(nèi)置用戶(hù)名����、密碼字典進(jìn)行Telnet和SSH暴力破解的方式擴(kuò)散。其在加解密中大量使用了Xor����,同時(shí)運(yùn)用多態(tài)及自刪除的方式隨機(jī)生成進(jìn)程名,可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和對(duì)網(wǎng)絡(luò)攝像機(jī)���、路由器等IOT設(shè)備的攻擊��,攻擊成功后����,可利用僵尸程序形成一個(gè)僵尸網(wǎng)絡(luò),對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起分布式拒絕服務(wù)(DDos)攻擊�����,造成大面積網(wǎng)絡(luò)癱瘓或無(wú)法訪(fǎng)問(wèn)網(wǎng)站或在線(xiàn)服務(wù)��。
�。ǘ⿶阂獾刂罚篴mushuvfikjas.b2047.com
關(guān)聯(lián)IP地址:104.155.138.21
歸屬地:美國(guó)/艾奧瓦州/康瑟爾布拉夫斯
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:XorDDoS
描述:這是一種Linux僵尸網(wǎng)絡(luò)病毒,主要通過(guò)內(nèi)置用戶(hù)名����、密碼字典進(jìn)行Telnet和SSH暴力破解的方式擴(kuò)散。其在加解密中大量使用了Xor����,同時(shí)運(yùn)用多態(tài)及自刪除的方式隨機(jī)生成進(jìn)程名,可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和對(duì)網(wǎng)絡(luò)攝像機(jī)�����、路由器等IOT設(shè)備的攻擊��,攻擊成功后��,可利用僵尸程序形成一個(gè)僵尸網(wǎng)絡(luò)���,對(duì)目標(biāo)網(wǎng)絡(luò)發(fā)起分布式拒絕服務(wù)(DDos)攻擊����,造成大面積網(wǎng)絡(luò)癱瘓或無(wú)法訪(fǎng)問(wèn)網(wǎng)站或在線(xiàn)服務(wù)�。
(三)惡意地址:a.gandzy.shop
關(guān)聯(lián)IP地址:104.131.68.180
歸屬地:美國(guó)/新澤西州/克利夫頓
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:MooBot
描述:這是一種Mirai僵尸網(wǎng)絡(luò)的變種���,常借助各種IoT設(shè)備漏洞例如CVE-2015-2051�、CVE-2018-6530�����、CVE-2022-26258��、CVE-2022-28958等進(jìn)行入侵��,攻擊者在成功入侵設(shè)備后將下載MooBot的二進(jìn)制文件并執(zhí)行�����,進(jìn)而組建僵尸網(wǎng)絡(luò)并可能發(fā)起DDoS(分布式拒絕服務(wù))攻擊���。
����。ㄋ模⿶阂獾刂罚簊hetoldmeshewas12.uno
關(guān)聯(lián)IP地址:104.131.68.180
歸屬地:美國(guó)/新澤西州/克利夫頓
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:MooBot
描述:這是一種Mirai僵尸網(wǎng)絡(luò)的變種,常借助各種IoT設(shè)備漏洞例如CVE-2015-2051���、CVE-2018-6530��、CVE-2022-26258��、CVE-2022-28958等進(jìn)行入侵�,攻擊者在成功入侵設(shè)備后將下載MooBot的二進(jìn)制文件并執(zhí)行��,進(jìn)而組建僵尸網(wǎng)絡(luò)并可能發(fā)起DDoS(分布式拒絕服務(wù))攻擊���。
����。ㄎ澹⿶阂獾刂罚簓u5bca55387d2a9ba0d7.ddnsfree.com
關(guān)聯(lián)IP地址:173.208.162.39
歸屬地:美國(guó)/密蘇里州/北堪薩斯城
威脅類(lèi)型:后門(mén)
病毒家族:AsyncRAT
描述:該惡意地址關(guān)聯(lián)多個(gè)AsyncRAT病毒家族樣本�����,部分樣本的MD5值為31bfa56bcd984d9a334a3006d3cc323d����。該網(wǎng)絡(luò)后門(mén)采用C#語(yǔ)言編寫(xiě),主要功能包括屏幕監(jiān)控���、鍵盤(pán)記錄����、密碼獲取�����、文件竊取����、進(jìn)程管理、開(kāi)關(guān)攝像頭���、交互式SHELL����,以及訪(fǎng)問(wèn)特定URL等���。主要通過(guò)移動(dòng)介質(zhì)��、網(wǎng)絡(luò)釣魚(yú)等方式進(jìn)行傳播�����,現(xiàn)已發(fā)現(xiàn)多個(gè)關(guān)聯(lián)變種�����,部分變種主要針對(duì)民生領(lǐng)域的聯(lián)網(wǎng)系統(tǒng)�����。
�����。⿶阂獾刂罚簊bdar.com
關(guān)聯(lián)IP地址:23.20.239.12
歸屬地:美國(guó)/弗吉尼亞州/阿什本
威脅類(lèi)型:竊密
病毒家族:AmosStealer
描述:該惡意地址關(guān)聯(lián)到AmosStealer病毒家族樣本�����,部分樣本的MD5值為9841c50833e3c05e74bffd97b3737d46���。AmosStealer(也稱(chēng)為“Atomic Stealer”)是一種針對(duì)macOS系統(tǒng)的信息竊取惡意軟件���,能夠竊取用戶(hù)的登錄憑證����、瀏覽器數(shù)據(jù)����、加密貨幣錢(qián)包信息等���,該惡意軟件通過(guò)偽裝成合法軟件或利用惡意廣告(malvertising)進(jìn)行傳播���。
(七)惡意地址:34.58.66.17
歸屬地:美國(guó)/加利福尼亞州/山景城
威脅類(lèi)型:后門(mén)
病毒家族:AsyncRAT
描述:該惡意地址關(guān)聯(lián)多個(gè)AsyncRAT病毒家族樣本��,部分樣本的MD5值為91aa773721ad37dc7205accac80dbf76��。該網(wǎng)絡(luò)后門(mén)采用C#語(yǔ)言編寫(xiě)���,主要功能包括屏幕監(jiān)控��、鍵盤(pán)記錄��、密碼獲取�����、文件竊取�、進(jìn)程管理、開(kāi)關(guān)攝像頭��、交互式SHELL�,以及訪(fǎng)問(wèn)特定URL等�。主要通過(guò)移動(dòng)介質(zhì)、網(wǎng)絡(luò)釣魚(yú)等方式進(jìn)行傳播�����,現(xiàn)已發(fā)現(xiàn)多個(gè)關(guān)聯(lián)變種���,部分變種主要針對(duì)民生領(lǐng)域的聯(lián)網(wǎng)系統(tǒng)��。
�����。ò耍⿶阂獾刂罚簉eald27.duckdns.org
關(guān)聯(lián)IP地址:46.246.86.20
歸屬地:瑞典/斯德哥爾摩省/斯德哥爾摩
威脅類(lèi)型:后門(mén)
病毒家族:NjRAT
描述:該惡意地址關(guān)聯(lián)到NjRAT病毒家族樣本�,部分樣本程序的MD5值為b28304414842bcacb024d0b5c70fc2ea�����。該后門(mén)是一種由 C#編寫(xiě)的遠(yuǎn)程訪(fǎng)問(wèn)木馬,具備屏幕監(jiān)控�、鍵盤(pán)記錄、密碼竊取�����、文件管理(上傳��、下載�、刪除��、重命名文件)����、進(jìn)程管理(啟動(dòng)或終止進(jìn)程)、遠(yuǎn)程激活攝像頭�����、交互式 Shell(遠(yuǎn)程命令執(zhí)行)����、訪(fǎng)問(wèn)特定 URL 及其它多種惡意控制功能,通常通過(guò)移動(dòng)存儲(chǔ)介質(zhì)感染����、網(wǎng)絡(luò)釣魚(yú)郵件或惡意鏈接進(jìn)行傳播����,用于非法監(jiān)控�����、數(shù)據(jù)竊取和遠(yuǎn)程控制受害者計(jì)算機(jī)�。
(九)惡意地址:serisbot.geek
關(guān)聯(lián)IP地址:139.59.53.195
歸屬地:印度/卡納塔克邦/班加羅爾
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:Mirai
描述:這是一種Linux僵尸網(wǎng)絡(luò)病毒��,通過(guò)網(wǎng)絡(luò)下載��、漏洞利用�、Telnet和SSH暴力破解等方式進(jìn)行擴(kuò)散,入侵成功后可對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)發(fā)起分布式拒絕服務(wù)(DDoS)攻擊���。
二�����、排查方法
�。ㄒ唬┰敿(xì)查看分析瀏覽器記錄以及網(wǎng)絡(luò)設(shè)備中近期流量和DNS請(qǐng)求記錄���,查看是否有以上惡意地址連接記錄����,如有條件可提取源IP、設(shè)備信息��、連接時(shí)間等信息進(jìn)行深入分析����。
�。ǘ┰诒締挝粦(yīng)用系統(tǒng)中部署網(wǎng)絡(luò)流量檢測(cè)設(shè)備進(jìn)行流量數(shù)據(jù)分析,追蹤與上述網(wǎng)址和IP發(fā)起通信的設(shè)備網(wǎng)上活動(dòng)痕跡��。
�。ㄈ┤绻軌虺晒Χㄎ坏皆馐芄舻穆(lián)網(wǎng)設(shè)備,可主動(dòng)對(duì)這些設(shè)備進(jìn)行勘驗(yàn)取證�,進(jìn)而組織技術(shù)分析。
三�、處置建議
(一)對(duì)所有通過(guò)社交平臺(tái)或電子郵件渠道接收的文件和鏈接保持高度警惕���,重點(diǎn)關(guān)注其中來(lái)源未知或不可信的情況�����,不要輕易信任或打開(kāi)相關(guān)文件����。
(二)及時(shí)在威脅情報(bào)產(chǎn)品或網(wǎng)絡(luò)出口防護(hù)設(shè)備中更新規(guī)則�,堅(jiān)決攔截以上惡意網(wǎng)址和惡意IP的訪(fǎng)問(wèn)。
�。ㄈ┫蚬矙C(jī)關(guān)及時(shí)報(bào)告,配合開(kāi)展現(xiàn)場(chǎng)調(diào)查和技術(shù)溯源��。
手機(jī)看中經(jīng)
經(jīng)濟(jì)日?qǐng)?bào)微信
中經(jīng)網(wǎng)微信
