新京报讯 据国家网络安全举报中心官方微博消息,国家网络信息安全举报中心通过其支撑力量发现了大量境外恶意URL和IP。境外黑客组织继续利用这些URL和IP对中国和其他国家发动网络攻击。这些恶意URL和IP与特定木马程序或木马程序控制终端密切相关。网络攻击的类型包括建立僵尸网络、利用后门等,对我国国内网络部门和互联网用户构成极大威胁。关联的恶意URL和恶意IP地点主要包括美国、德国、荷兰、拉脱维亚、土耳其、伊朗、韩国和巴西。主要有以下几种情况。 1. 恶意地址信息 (1) 恶意地址:station.myvnc.com 关联IP地址:97.106.23.197 位置:美国/佛罗里达州/布雷登顿 威胁类型:后门病毒系列:Nanocore 描述:这是一种远程访问特洛伊木马,用于间谍活动和远程控制系统。有权访问受感染主机的攻击者可以记录音频和视频、键盘记录、收集凭据和个人信息、操纵文件和注册表,以及下载和执行其他恶意软件有效负载。 Nanocore还支持插件,可扩展实现加密货币挖矿、勒索攻击等各种恶意功能。 (2)恶意地址:jaks.ddns.net 关联IP地址:134.209.173.227 地点:美国/新泽西/克利夫顿 威胁类型:后门 病毒家族:AsyncRAT 描述:C#语言编写的后门木马。 cKey 功能包括屏幕监控、键盘记录、密码捕获、文件盗窃、进程管理、摄像头开/关、交互式 SHELL 以及对特定 URL 的访问。主要是移动媒体、网络钓鱼、通过其他方式传播。蜜蜂有几个相关的变种n 发现,其中一些主要针对消费领域的网络系统。 (3) 恶意地址:ilenudavous-monoxoxapal-semimihupution.info 关联 IP 地址:178.162.203.211 地点:德国/黑森州/法兰克福 主要威胁类型:僵尸网络 病毒家族:MooBot 描述:这是 Mirai 僵尸网络的变种,经常被借用。 CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958 等。一旦攻击者成功入侵设备,他们就会下载并执行 MooBot 二进制文件。这可能导致僵尸网络的形成和 DDoS(拒绝服务)攻击(分布式服务)的发起。 (4)恶意地址:196.251.115.19 地点:荷兰/荷兰北部/阿姆斯特丹 威胁类型:僵尸网络 病毒家族:Gafgyt 描述:这是一种基于互联网中继聊天(IRC)协议的物联网僵尸网络病毒。主要通过利用漏洞和内置用户名密码字典进行暴力传播Telnet和SSH的破解。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后,可以利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,从而导致大规模网络瘫痪。 (5) 恶意地址:Glad147.ddns.net 关联IP地址:185.214.10.22 地点:荷兰/荷兰北部/阿姆斯特丹 威胁类型:后门 病毒家族:Quasar 描述:基于.NET
adm trojan远程登录框架提供文件管理、进程管理、远程桌面、远程shell、上传和下载以及系统控制。它提供系统信息恢复、重启和关机、键盘记录、密码窃取、注册表编辑等功能。攻击者经常利用它来窃取信息并远程控制受害者的主机。 (6) 恶意地址:193.111.78.190 地点:土耳其/布尔萨省/布尔萨 威胁类型:僵尸网络 病毒家族:Gafgy描述:这是一种基于互联网中继聊天(IRC)协议的物联网僵尸网络病毒。主要通过利用漏洞和内置用户名密码字典对Telnet、SSH进行暴力破解进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后,可以利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,从而导致大规模网络瘫痪。 (7)恶意地址:p.findmeatthe.top 关联IP地址:94.140.120.193 地点:拉脱维亚/里加市/里加 威胁类型:僵尸网络 病毒家族:Mirai 描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解进行传播。成功渗透可能会对目标网络系统发起分布式拒绝服务 (DDoS) 攻击。 (8) 恶意地址:joker.proxywall.p-e.kr AssociIP地址:37.49.148.60 来源:伊朗 威胁类型:僵尸网络 病毒家族:Mirai 描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、暴力破解Telnet和SSH等方式进行传播。成功的渗透可能会针对目标网络系统发起分布式拒绝服务攻击 (DDoS)。 (9)恶意地址:116.204.171.195 地点:韩国/首尔/首尔 威胁类型:后门病毒家族:Farfli 描述:一种远程控制的木马,通过网络下载、软件捆绑、网络钓鱼等方式进行传播。这使得远程攻击者能够执行各种远程控制操作,例如监视计算机屏幕、记录击键、下载和安装任意文件、窃取个人信息,甚至控制受感染的计算机并发起 DDoS 攻击。 (10)恶意地址:xwormkdv.ddns.net 关联IP地址:189.6.66.135 地点:巴西/联邦区/巴西利亚威胁类型:后门 病毒家族:DarkKomet 描述:启用攻击的后门程序 攻击者使用图形用户界面控制受感染的主机。一旦执行c,您可以更改系统设置、记录键盘、截取屏幕截图、捕获声音摄像机、通过套接字与控制服务器建立连接、监听来自远程服务器的命令、下载文件、启动程序、运行脚本以及执行其他操作。 2、排查方法 (1)彻底检查分析您网络设备的浏览器日志以及近期流量和DNS请求日志,判断是否存在上述恶意地址连接记录。如果可能的话,可以提取源IP、设备信息、连接时间等信息进行进一步分析。 (二)在本单位的应用系统上部署网络流量检测设备,分析流量数据并跟踪与上述URL和IP发起通信的设备的在线活动; (3) 奥恩克可以定位受攻击的网络设备,主动检查这些设备,收集证据并组织技术分析。 3.删除提示(1)所有通过社交平台和电子邮件渠道收到的文件和链接都要小心,重点关注来源不明或不可信的情况,不要信任或轻易打开相关文件。 (二)及时更新威胁情报产品和网络出口防护设备规则,果断阻断对上述恶意URL、恶意IP的访问; (三)及时通报公安机关,配合现场调查和技术溯源。编辑刘嘉妮
作者
adimin@yz05.com