中新社12月3日电 据国家网络安全报告中心微信公众号消息,国家网络安全信息报告中心通过其支撑部门发现了一批境外恶意URL和IP。境外黑客组织继续利用这些URL和IP对中国和其他国家发动网络攻击。这些恶意URL和IP与特定木马程序或木马程序控制终端密切相关。网络攻击的类型包括建立僵尸网络、利用后门等,对我国国内网络部门和互联网用户构成极大威胁。相关恶意URL和恶意IP地点主要包括美国、英国、德国、荷兰、克罗地亚、塞浦路斯、巴西、图尔基亚和保加利亚。主要情况有:
说明:RemCos是2016年发布的远程管理工具。RemCos最新版本能够执行各种恶意活动,例如键盘记录、截取屏幕截图和窃取密码。攻击者可以利用对受感染系统的后门访问来收集敏感信息并远程控制系统。
(2)恶意地址:ihatefaggots.cc
关联IP地址:158.94.209.205
所属地点: 英国/英格兰/伦敦
威胁类型:后门
病毒家族:塔斯克病毒
描述:一种远程控制木马,可渗透系统,将自身安装在%AppData% 或%ProgramData% 目录中,并通过创建任务计划持续存在。尝试连接到 CC 服务器。一旦连接,攻击者就可以访问和控制受感染的计算机。这包括从计算机和用户凭据获取机密信息、在受感染的计算机上执行远程命令、下载并执行任意文件以及发起 DDoS 攻击。该木马的一些变种包括 Tor 组件。允许匿名连接的组件通过 Tor 网络发送到 CC 服务器。
(3)恶意地址:vmr3b.bounceme.net
关联IP地址:41.216.189.110
所属地点: 德国/黑森/美因河畔法兰克福
威胁类型:僵尸网络
病毒家族:Mirai
描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行传播。成功渗透可能会对目标网络系统发起分布式拒绝服务 (DDoS) 攻击。
(4)恶意地址:antizerolant-monogevudom.info
关联IP地址:85.17.31.82
所属地点: 荷兰/荷兰北部/阿姆斯特丹
威胁类型:僵尸网络
病毒家族:MooBot
描述:这是 Mirai 僵尸网络的一个变种,经常利用各种 IoT 设备漏洞,例如 CVE-2015-2051、CVE-2018-6530 和 CVE-2022-26。 258、CVE-2022-28958 等。一旦攻击者成功入侵设备,他们就会下载并执行 MooBot 二进制文件。这约n 导致僵尸网络的形成和DDoS(分布式拒绝服务)攻击的发起。
(5)恶意地址:danielaespeleta708090.duckdns.org
关联IP地址:45.88.186.251
所属地点: 荷兰/荷兰北部/阿姆斯特丹
威胁类型:后门
病毒家族:Chrysan
描述:一种后门特洛伊木马。此类木马具有反检测功能。执行后,它首先检测VMWARE等虚拟机的存在,然后检测虚拟机是否在沙箱中运行以及是否包含沙箱特定的功能,例如或SbieDll.dll.Masu。然后它将自身复制到特定文件夹并运行它。不同的变体以不同的方式配置自动启动,包括创建任务计划、将其复制到启动文件夹以及设置注册表启动项。最后,它访问远程CC服务器,接收攻击者的命令,并执行相应的操作,例如下载d 执行文件并收集用户数据。后门木马通过网络钓鱼或当用户访问不安全的网站并意外下载恶意软件时传播。
(6)恶意地址:45.95.169.105
所属地: 克罗地亚/锡萨克县 莫斯拉维纳/锡萨克
威胁类型:僵尸网络
病毒家族:Gafgyt
描述:这是一种基于互联网中继聊天(IRC)协议的物联网僵尸网络病毒。它主要通过利用漏洞和内置名称字典用户名和密码来暴力破解Telnet和SSH进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后,可以利用僵尸程序形成僵尸网络,对目标网络系统发起分布式拒绝服务(DDoS)攻击,从而导致大规模网络瘫痪。
(7)恶意地址:194.30.129.226
所属地点: 塞浦路斯/尼科西亚地区/尼科西亚
威胁类型:僵尸网络
病毒家族:Gafgyt
描述:这是一个物联网基于互联网中继聊天 (IRC) 协议的僵尸网络病毒。主要通过利用漏洞和内置用户名密码字典对Telnet、SSH进行暴力破解进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。成功的攻击使用僵尸程序形成僵尸网络,并将其分发到系统而不是目标网络。可以发起拒绝服务(DDoS)攻击,导致大规模网络瘫痪。
(8)恶意地址:sophos1997.camdvr.org
关联IP地址:191.19.217.13
所属地点: 巴西/圣保罗/Jandira
威胁类型:僵尸网络
病毒学家家族:Mirai
描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行传播。成功渗透可能会对目标网络系统发起分布式拒绝服务 (DDoS) 攻击。
(9)恶意地址:weefaf.duckdns.org
关联IP地址:213.238.187.95
地点: 土耳其/伊斯坦布尔/伊斯坦布尔
威胁类型:后门
病毒家族:DarkKomet
描述:一种后门程序,允许攻击者通过图形用户界面控制受感染的主机。运行后,您可以更改系统上的设置、记录键盘、截取屏幕截图、捕获声音摄像机、通过套接字与控制服务器建立连接、侦听来自远程服务器的命令、下载文件、启动程序、运行脚本以及执行其他操作。
(10)恶意地址:ratmainz.ink
关联IP地址:91.92.243.128
隶属地点:保加利亚/大特尔诺沃地区/斯维什托夫
威胁类型:后门
病毒家族:RemCos
描述:RemCos 是 2016 年发布的远程管理工具。最新版本的 RemCos 能够执行各种恶意活动,例如键盘记录、屏幕截图和窃取密码。攻击者可以利用后门访问到受感染的系统以收集敏感信息并远程控制系统。
2、研究方法
(1) Fastener 查看并彻底分析来自网络设备的用户日志以及最近的文件和 DNS 请求日志,以确定是否存在任何以前的恶意地址连接日志。如果可能的话,可以提取源IP、设备信息、连接时间等信息进行进一步分析。
(二)在本单位的应用系统上部署网络流量检测设备,分析流量数据并跟踪与上述URL和IP发起通信的设备的在线活动;
(3)一旦定位到被攻击的网络设备,就可以主动检查这些设备,收集证据并组织技术分析。
3. 移除建议
(1) 密切关注您通过社交平台和电子邮件渠道收到的所有文件和链接,重点关注来源未知或不可信的情况,d 不信任或轻易打开相关文件。
(二)及时更新威胁情报产品和网络出口防护设备规则,果断阻断对上述恶意URL、恶意IP的访问;
(三)及时通报公安机关,配合现场调查和技术溯源。 【编辑:刘派】
连接传统与现代的《龙传》传递的孝文化
我们不能忽视旧标准电动自行车成为“零公里二手车”的风险
“肮脏”合同、带薪培训……一张图片,让你避开求职陷阱
为什么它们会成为 2025 年十大流行语?
日本学术界有些人从历史角度看待“中国去中心化”是错误的。
湿度不大,使用加湿器要注意5个重要细节
长三角支撑中国民营生态重要支柱诺米
“苏超”、“谷子”等2025年十大流行语公布。
“日本制造”组织的崩溃
漳州敬业:月琴声迷住两岸
国家健康保险局:协调 地区生育津贴90%以上直接支付给个人。
不到半个月的时间,日本股市和债市遭遇“二次探底”。
国学研究必须传统与现代并重。
如果您在乘坐公交车时看到这个标志,这意味着什么?
中国年快递量首次突破1800亿件
个人税收抵免将于 12 月结束,明年将为您带来更多收入
八个主要产油国宣布明年1-3月维持停产计划
印尼苏门答腊岛华人救灾记录