國(guó)家網(wǎng)絡(luò)安全通報(bào)中心風(fēng)險(xiǎn)提示:重點(diǎn)防范境外惡意網(wǎng)址和惡意IP(一)
10月21日����,中國(guó)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心通過(guò)官方微信號(hào)發(fā)布風(fēng)險(xiǎn)提示�����,要求我國(guó)各企業(yè)組織和單位重點(diǎn)防范境外惡意網(wǎng)址和惡意IP���。中心發(fā)現(xiàn),一批境外惡意網(wǎng)址和惡意IP�����,有多個(gè)具有某大國(guó)政府背景的境外黑客組織�,利用這些網(wǎng)址和IP持續(xù)對(duì)我國(guó)和其他國(guó)家發(fā)起網(wǎng)絡(luò)攻擊。這些惡意網(wǎng)址和IP都與特定木馬程序或木馬程序控制端密切關(guān)聯(lián)�����,網(wǎng)絡(luò)攻擊類(lèi)型包括建立僵尸網(wǎng)絡(luò)��、網(wǎng)絡(luò)釣魚(yú)���、勒索病毒等�,以達(dá)到竊取商業(yè)秘密和知識(shí)產(chǎn)權(quán)�、侵犯公民個(gè)人信息等目的�����,對(duì)我國(guó)聯(lián)網(wǎng)單位和互聯(lián)網(wǎng)用戶構(gòu)成重大威脅�,部分活動(dòng)已涉嫌刑事犯罪����。主要情況如下:
一、惡意地址信息
(一)惡意地址:j.foxnointel.ru
關(guān)聯(lián)IP地址:172.235.51.77
歸屬地:美國(guó)/加利福尼亞州/洛杉磯
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:fodcha
描述:這是一種DDoS僵尸網(wǎng)絡(luò)木馬���,通過(guò)N-Day漏洞和Telnet����、SSH弱口令進(jìn)行傳播�。攻擊者可控制被感染的“肉雞”(聯(lián)網(wǎng)終端)對(duì)互聯(lián)網(wǎng)上的其它系統(tǒng)或設(shè)備發(fā)起DDoS攻擊,導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施或重要網(wǎng)絡(luò)應(yīng)用癱瘓���,干擾破壞國(guó)計(jì)民生和社會(huì)公共秩序�����。
(二)惡意地址:a.foxnointel.ru
關(guān)聯(lián)IP地址:92.223.30.136
歸屬地:美國(guó)/加利福尼亞州/洛杉磯
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:fodcha
描述:這是一種DDoS僵尸網(wǎng)絡(luò)木馬�,通過(guò)N-Day漏洞和Telnet、SSH弱口令進(jìn)行傳播���。攻擊者可控制被感染的“肉雞”(聯(lián)網(wǎng)終端)對(duì)互聯(lián)網(wǎng)上的其它系統(tǒng)或設(shè)備發(fā)起DDoS攻擊����,導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施或重要網(wǎng)絡(luò)應(yīng)用癱瘓����,干擾破壞國(guó)計(jì)民生和社會(huì)公共秩序���。
(三)惡意地址:93.157.106.238
歸屬地:保加利亞/索非亞州/索非亞
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:mirai
描述:這是一種Linux僵尸網(wǎng)絡(luò)病毒��,通過(guò)網(wǎng)絡(luò)下載���、漏洞利用、Telnet和SSH暴力破解等方式進(jìn)行擴(kuò)散��,入侵成功后可對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)發(fā)起分布式拒絕服務(wù)(DDos)攻擊��。
(四)惡意地址:LOADINGBOATS.DYN
關(guān)聯(lián)IP地址:89.36.160.67
歸屬地:波蘭/馬佐夫舍省/華沙
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:catddos
描述:Catddos病毒家族主要通過(guò)IoT設(shè)備的N-Day漏洞進(jìn)行傳播�����,已公開(kāi)樣本包括CVE-2023-46604、CVE-2021-22205等��,該惡意地址是相關(guān)病毒家族近期有效活躍的回連地址����。
(五)惡意地址:95.214.27.194
歸屬地:荷蘭/北荷蘭省/阿姆斯特丹
威脅類(lèi)型:僵尸網(wǎng)絡(luò)
病毒家族:moobot
描述:這是一種Mirai僵尸網(wǎng)絡(luò)的變種,常借助各種IoT設(shè)備漏洞例如CVE-2015-2051����、CVE-2018-6530、CVE-2022-26258�、CVE-2022-28958等進(jìn)行入侵,攻擊者在成功入侵設(shè)備后將下載MooBot的二進(jìn)制文件并執(zhí)行��,進(jìn)而組建僵尸網(wǎng)絡(luò)并可能發(fā)起分布式拒絕服務(wù)(DDos)攻擊��。
(六)惡意地址:dovahnoh1.duckdns.org
關(guān)聯(lián)IP地址:88.227.180.194
歸屬地:土耳其/阿達(dá)納省/塞伊漢
威脅類(lèi)型:網(wǎng)絡(luò)后門(mén)
病毒家族:Asyncrat
描述:該惡意地址關(guān)聯(lián)多個(gè)Asyncrat病毒家族樣本��,部分樣本的MD5值為0afe92d70093444605979eafa2afca4d和24d5b4b63fe3f30c9a399f0c76196104�。該網(wǎng)絡(luò)后門(mén)采用C#語(yǔ)言編寫(xiě),主要功能包括屏幕監(jiān)控�、鍵盤(pán)記錄、密碼獲取���、文件竊取����、進(jìn)程管理、開(kāi)關(guān)攝像頭��、交互式SHELL���,以及訪問(wèn)特定URL等��。該木馬通過(guò)移動(dòng)介質(zhì)����、網(wǎng)絡(luò)釣魚(yú)等方式進(jìn)行傳播��,現(xiàn)已發(fā)現(xiàn)多個(gè)關(guān)聯(lián)變種��,部分變種主要針對(duì)民生領(lǐng)域的聯(lián)網(wǎng)系統(tǒng)��。
(七)惡意地址:134.122.138.230:7021
歸屬地:日本/東京都/東京
威脅類(lèi)型:網(wǎng)絡(luò)后門(mén)
病毒家族:SilverFox
描述:該惡意地址關(guān)聯(lián)SilverFox病毒家族樣本���,其MD5值為bfc4b93fade57ead4fa15d37aef94760,相關(guān)樣本通過(guò)釣魚(yú)郵件進(jìn)行傳播����,經(jīng)變種偽裝成企業(yè)內(nèi)部應(yīng)用軟件誘騙用戶下載點(diǎn)擊。
二、排查方法
(一)詳細(xì)查看分析瀏覽器記錄以及網(wǎng)絡(luò)設(shè)備中近期流量和DNS請(qǐng)求記錄�,查看是否有以上惡意地址連接記錄,如有條件可提取源IP����、設(shè)備信息、連接時(shí)間等信息��。
(二)在本單位應(yīng)用系統(tǒng)中部署網(wǎng)絡(luò)流量檢測(cè)設(shè)備進(jìn)行流量數(shù)據(jù)分析��,追蹤與上述網(wǎng)絡(luò)和IP發(fā)起通信的設(shè)備網(wǎng)上活動(dòng)痕跡�����。
(三)如果能夠成功定位到遭受攻擊的聯(lián)網(wǎng)設(shè)備����,可主動(dòng)對(duì)這些設(shè)備進(jìn)行勘驗(yàn)取證,進(jìn)而組織技術(shù)分析�。
三、處置建議
(一)對(duì)所有通過(guò)社交平臺(tái)或電子郵件渠道接收的文件和鏈接保持高度警惕��,重點(diǎn)關(guān)注其中來(lái)源未知或不可信的情況��,不要輕易信任或打開(kāi)相關(guān)文件��。
(二)及時(shí)在威脅情報(bào)產(chǎn)品或網(wǎng)絡(luò)出口防護(hù)設(shè)備中更新規(guī)則,堅(jiān)決攔截以上惡意網(wǎng)址和惡意IP的訪問(wèn)���。
(三)向有關(guān)部門(mén)及時(shí)報(bào)告�����,配合開(kāi)展現(xiàn)場(chǎng)調(diào)查和技術(shù)溯源�。
文章來(lái)源:國(guó)家網(wǎng)絡(luò)安全通報(bào)中心
在線咨詢
在線咨詢
0371-63319761