国家网络与信息安全信息通报中心通报一批境外恶意网址和恶意IP
2021-11-08 10:25:28
国家网络与信息安全信息通报中心通报的境外恶意网址和恶意IP涉及多个国家,主要威胁类型为僵尸网络和网络后门,攻击者通过木马程序窃取信息、破坏系统,对中国联网单位和用户构成重大威胁。
恶意地址核心信息
http://j.foxnointel.ru关联IP:172.235.51.77
归属地:美国/加利福尼亚州/洛杉矶
威胁类型:僵尸网络
病毒家族:fodcha
描述:DDoS僵尸网络木马,通过N-Day漏洞和Telnet/SSH弱口令传播,攻击者可控制“肉鸡”发起DDoS攻击,导致关键基础设施瘫痪。
http://a.foxnointel.ru关联IP:92.223.30.136
归属地:美国/加利福尼亚州/洛杉矶
威胁类型:僵尸网络
病毒家族:fodcha
描述:与上一地址同属fodcha家族,传播方式和攻击目标一致。
93.157.106.238
归属地:保加利亚/索非亚州/索非亚
威胁类型:僵尸网络
病毒家族:mirai
描述:Linux僵尸网络病毒,通过网络下载、漏洞利用和暴力破解扩散,入侵后发起DDoS攻击。
LOADINGBOATS.DYN
关联IP:89.36.160.67
归属地:波兰/马佐夫舍省/华沙
威胁类型:僵尸网络
病毒家族:catddos
描述:通过IoT设备N-Day漏洞传播,已公开样本包括CVE-2023-46604等,是病毒家族近期活跃的回连地址。
95.214.27.194
归属地:荷兰/北荷兰省/阿姆斯特丹
威胁类型:僵尸网络
病毒家族:moobot
描述:Mirai变种,利用IoT设备漏洞(如CVE-2015-2051)入侵,下载二进制文件组建僵尸网络并发起DDoS攻击。
http://dovahnoh1.duckdns.org关联IP:88.227.180.194
归属地:土耳其/阿达纳省/塞伊汉
威胁类型:网络后门
病毒家族:Asyncrat
描述:采用C#编写,功能包括屏幕监控、键盘记录、文件窃取等,通过移动介质和网络钓鱼传播,部分变种针对民生领域系统。
134.122.138.230:7021
归属地:日本/东京都/东京
威胁类型:网络后门
病毒家族:SilverFox
描述:通过钓鱼邮件传播,伪装成企业内部应用诱骗用户下载,MD5值为bfc4b93fade57ead4fa15d37aef94760。
攻击特点与危害
多国协同攻击:恶意地址归属地涉及美国、波兰、荷兰、保加利亚、土耳其、日本等,部分具有政府背景的黑客组织参与。
攻击手段多样:包括建立僵尸网络、网络钓鱼、勒索病毒等,利用N-Day漏洞、弱口令、暴力破解等方式扩散。
目标广泛:窃取商业秘密、知识产权和公民个人信息,干扰关键信息基础设施,部分活动涉嫌刑事犯罪。
排查方法
分析网络记录:检查浏览器历史、网络设备流量和DNS请求记录,提取源IP、设备信息和连接时间。
部署检测设备:在网络出口或应用系统中部署流量检测工具,追踪与恶意地址通信的设备活动痕迹。
定位攻击设备:对疑似受攻击的设备进行勘验取证,分析攻击路径和木马样本。
处置建议
提高警惕性:对社交平台或邮件接收的文件和链接保持谨慎,不轻易打开来源未知的内容。
更新防护规则:在威胁情报产品或网络出口设备中添加恶意网址和IP的拦截规则。
及时报告配合:向有关部门报告攻击事件,配合现场调查和技术溯源工作。
热门标签
