中國國家網(wǎng)絡(luò)與信息安全信息通報中心通過支撐單位發(fā)現(xiàn)一批境外惡意網(wǎng)址和惡意IP，境外黑客組織利用這些網(wǎng)址和IP持續(xù)對中國和其他國家發(fā)起網(wǎng)絡(luò)攻擊。這些惡意網(wǎng)址和IP都與特定木馬程序或木馬程序控制端密切關(guān)聯(lián)，網(wǎng)絡(luò)攻擊類型包括建立僵尸網(wǎng)絡(luò)、挖礦木馬、遠(yuǎn)程控制、后門利用等，對中國國內(nèi)聯(lián)網(wǎng)單位和互聯(lián)網(wǎng)用戶構(gòu)成重大威脅。相關(guān)惡意網(wǎng)址和惡意IP歸屬地主要涉及：美國、荷蘭、英國等。主要情況如下：

一、惡意地址信息

（一）惡意地址：ret.6bc.us

關(guān)聯(lián)IP地址：173.109.82.78

歸屬地：美國/佛羅里達(dá)州/邁阿密

威脅類型：僵尸網(wǎng)絡(luò)

病毒家族：Purple Fox

描述：Purple Fox是一種功能復(fù)雜的惡意軟件，具備后門、持久化、信息竊取和傳播能力，一般通過漏洞利用和釣魚攻擊方式傳播，對系統(tǒng)和網(wǎng)絡(luò)安全構(gòu)成威脅。防御措施包括及時更新系統(tǒng)、安裝安全軟件、提高用戶意識和加強網(wǎng)絡(luò)監(jiān)控。

（二）惡意地址：morphed.ru

關(guān)聯(lián)IP地址：34.219.59.42

歸屬地：美國/俄勒岡州/波特蘭

威脅類型：木馬遠(yuǎn)控

病毒家族：Gamarue

描述：Gamarue是一種木馬，某些變種為蠕蟲。Gamarue可通過可移動驅(qū)動器、垃圾郵件和木馬下載器、漏洞利用工具包進(jìn)行傳播。一旦感染設(shè)備，病毒會在臨時文件夾中生成一個隨機文件名的病毒主體，并在注冊表創(chuàng)建自啟動項；病毒感染可移動存儲設(shè)備后，會生成文件autorun.inf和一個以U盤卷標(biāo)+容量命名的快捷方式，并將原U盤所有文件轉(zhuǎn)移到一個隱藏文件夾中。

（三）惡意地址：cinskw.net

關(guān)聯(lián)IP地址：15.197.148.33

歸屬地：美國

威脅類型：遠(yuǎn)控木馬

病毒家族：silverfox

描述：銀狐組織（silverfox），又名“谷墮大盜”，是一個專業(yè)從事黑灰產(chǎn)的攻擊組織。該攻擊組織此前主要針對金融、證券、教育及設(shè)計行業(yè)，不僅通過使用SEO網(wǎng)站優(yōu)化使得相關(guān)釣魚網(wǎng)站搜索排名領(lǐng)先，然后誘導(dǎo)用戶下載安裝木馬文件，還通過把木馬文件偽裝成各種常見的工具、微信聊天記錄或者是與金融相關(guān)的新聞熱點事件和相關(guān)教學(xué)視頻等，誘騙員工點擊安裝木馬文件，從而為后續(xù)入侵企業(yè)辦公網(wǎng)提供入口。該團(tuán)伙通過控制受害主機權(quán)限，在系統(tǒng)內(nèi)長期駐留、監(jiān)控用戶日常操作、竊取敏感信息，利用受害者的即時通信軟件來發(fā)送具有針對性的釣魚、欺詐類信息，實施釣魚攻擊和詐騙等違法行為。

（四）惡意地址：superyou.zapto.org

關(guān)聯(lián)IP地址：44.209.47.121

歸屬地：美國/弗吉尼亞州/阿什本

威脅類型：遠(yuǎn)控木馬

病毒家族：autoit

描述：AutoIt是一種通過AutoIT腳本語言編寫的木馬病毒。由于AutoIt解釋器本身屬于合法程序，黑客可以把惡意代碼藏在腳本文件中，從而靈活地創(chuàng)建惡意軟件，且在系統(tǒng)中沒有獨立進(jìn)程存在，造成其存活周期延長。AutoIt會通過創(chuàng)建注冊表創(chuàng)建開機自啟動，運行時該病毒會檢查自身運行環(huán)境，如果檢測到虛擬環(huán)境則會自行終止。此外，該病毒還可以感染計算機全部磁盤，并駐留內(nèi)存與服務(wù)器通信，實施遠(yuǎn)程控制。

（五）惡意地址：oeihefoeaboeubfuo.ru

關(guān)聯(lián)IP地址：44.200.87.10

歸屬地：美國/弗吉尼亞州/阿什本

威脅類型：遠(yuǎn)控木馬

病毒家族：Phorpiex

描述：Phorpiex是一種木馬，主要用于構(gòu)建僵尸網(wǎng)絡(luò)，感染W(wǎng)indows設(shè)備并通過USB驅(qū)動器、可移動存儲和垃圾郵件傳播。它通過弱口令暴力破解用戶憑證并傳播到網(wǎng)絡(luò)中的其他PC。感染后，Phorpiex會修改注冊表實現(xiàn)自啟動，允許后門訪問和控制，并嘗試連接IRC服務(wù)器以執(zhí)行惡意操作，如下載文件、發(fā)動拒絕服務(wù)攻擊（SYN flood）等。此外，Phorpiex還會下載勒索軟件，加密文件并勒索贖金，并新增了感染32位PE文件的功能，會下發(fā)Avaddon勒索病毒。

（六）惡意地址：pywolwnvd.biz

關(guān)聯(lián)IP地址：34.219.59.42

歸屬地：美國/俄勒岡州/波特蘭

威脅類型：遠(yuǎn)控木馬

病毒家族：krypt

描述：Krypt（也稱為Kryptik）是一種多功能的惡意軟件家族，主要針對Windows系統(tǒng)。它通常通過釣魚郵件、惡意廣告或捆綁軟件方式傳播，具有竊取信息、下載其他惡意軟件以及持久化感染的能力。

（七）惡意地址：hacked13.no-ip.info

關(guān)聯(lián)IP地址：104.36.180.25

歸屬地：遠(yuǎn)控木馬

威脅類型：加拿大/安大略省/多倫多

病毒家族：Poison

描述：Poison是一種后門木馬，攻擊者會獲得未授予的權(quán)限進(jìn)而控制失陷主機。該木馬通過注入其他進(jìn)程來隱藏自身，功能具有下載和上傳文件、鍵盤記錄、信息竊取等功能。

（八）惡意地址：donate.v2.xmrig.com

關(guān)聯(lián)IP地址：178.128.242.134

歸屬地：荷蘭/北荷蘭省/阿姆斯特丹

威脅類型：挖礦木馬

病毒家族：Minepool

描述：Minepool是一種加密貨幣挖礦池。該礦池可挖掘比特幣、科莫多、Litecoinz、Snowgem和Votecoin等多種貨幣，通過組建一組協(xié)作的礦工來運作，利用其他挖礦病毒進(jìn)行挖礦相關(guān)任務(wù)。

（九）惡意地址：z.totonm.com

關(guān)聯(lián)IP地址：193.62.37.224

歸屬地：英國/英格蘭/倫敦

威脅類型：挖礦木馬

病毒家族：WannaMine

描述：WannaMine是一種挖礦木馬，2017年10月發(fā)現(xiàn)之初，主要利用“永恒之藍(lán)”(EternalBlue)漏洞進(jìn)行傳播，后來逐步增加通過ssh/telnet暴力破解，利用CVE-2017-0213、CVE-2016-5195等漏洞輔助入侵提升控制權(quán)限，主要挖取門羅幣。WannaMine最新版本新增了組合與免殺功能，且功能模塊獨立化，每個模塊在攻擊流程中都具備明確角色和任務(wù)，有效避免單個組織功能模塊被關(guān)聯(lián)分析，攻擊目標(biāo)方向由Windows系統(tǒng)擴(kuò)展至Linux環(huán)境，并能夠構(gòu)造僵尸網(wǎng)絡(luò)，為其他黑客組織提供武器。

（十）惡意地址：anam0rph.su

關(guān)聯(lián)IP地址：18.141.10.107

歸屬地：新加坡

威脅類型：后門木馬

病毒家族：andromeda

描述：Andromeda是一種模塊化的后門木馬。最原始的病毒僅包含一個加載器，在其運行期間會從C&C服務(wù)器上下載相關(guān)模塊和更新，它同時也擁有反虛擬機和反調(diào)試的功能。病毒可以通過使用Rootkit隱藏與自身相關(guān)的進(jìn)程、文件和注冊表項。此外，病毒還會控制感染主機構(gòu)建僵尸網(wǎng)絡(luò)，用于分發(fā)其它病毒，也可能會下載其它病毒進(jìn)入系統(tǒng)，還可能會進(jìn)行其他如DoS/DDoS拒絕服務(wù)攻擊等惡意活動。

二、排查方法

（一）詳細(xì)查看分析瀏覽器記錄以及網(wǎng)絡(luò)設(shè)備中近期流量和DNS請求記錄，查看是否有以上惡意地址連接記錄，如有條件可提取源IP、設(shè)備信息、連接時間等信息進(jìn)行深入分析。

（二）在本單位應(yīng)用系統(tǒng)中部署網(wǎng)絡(luò)流量檢測設(shè)備進(jìn)行流量數(shù)據(jù)分析，追蹤與上述網(wǎng)絡(luò)和IP發(fā)起通信的設(shè)備網(wǎng)上活動痕跡。

（三）如果能夠成功定位到遭受攻擊的聯(lián)網(wǎng)設(shè)備，可主動對這些設(shè)備進(jìn)行勘驗取證，進(jìn)而組織技術(shù)分析。

三、處置建議

（一）對所有通過社交平臺或電子郵件渠道接收的文件和鏈接保持高度警惕，重點關(guān)注其中來源未知或不可信的情況，不要輕易信任或打開相關(guān)文件。

（二）及時在威脅情報產(chǎn)品或網(wǎng)絡(luò)出口防護(hù)設(shè)備中更新規(guī)則，堅決攔截以上惡意網(wǎng)址和惡意IP的訪問。

（三）向公安機關(guān)及時報告，配合開展現(xiàn)場調(diào)查和技術(shù)溯源。

參考及來源：國家網(wǎng)絡(luò)安全通報中心