中國消費者報報道(記者武曉莉)近期,中國國家網絡與信息安全信息通報中心發現一批境外惡意網址和惡意IP,多個境外黑客組織,利用這些網址和IP持續發起網絡攻擊。從普通用戶角度看,這些惡意網址和IP有何危害?是通過什么途徑傳給用戶的?對用戶有什么影響和危害?需要如何防范呢?
國家網絡與信息安全信息通報中心通報指出,這7個惡意網址和IP都與特定木馬程序或木馬程序控制端密切關聯,網絡攻擊類型包括建立僵尸網絡、網絡釣魚、勒索病毒等,以達到竊取商業秘密和知識產權、侵犯公民個人信息等目的,對互聯網用戶構成重大威脅,部分活動已涉嫌刑事犯罪。
惡意地址:j.foxnointel.ru,關聯IP地址:172.235.51.77,病毒家族:fodcha;惡意地址:a.foxnointel.ru,關聯IP地址:92.223.30.136,病毒家族:fodcha。
通報指出,這兩個都是一種DDoS僵尸網絡木馬,通過N-Day漏洞和Telnet、SSH弱口令進行傳播。攻擊者可控制被感染的“肉雞”(聯網終端),對互聯網上的其他系統或設備發起DDoS攻擊,導致關鍵信息基礎設施或重要網絡應用癱瘓,干擾破壞國計民生和社會公共秩序。
惡意地址:93.157.106.238,病毒家族:mirai。通報指出,這是一種Linux僵尸網絡病毒,通過網絡下載、漏洞利用、Telnet和SSH暴力破解等方式進行擴散,入侵成功后可對目標網絡系統發起分布式拒絕服務(DDos)攻擊。
惡意地址:LOADINGBOATS.DYN,關聯IP地址:89.36.160.67,病毒家族:catddos。通報指出,Catddos病毒家族主要通過IoT設備的N-Day漏洞進行傳播,該惡意地址是相關病毒家族近期有效活躍的回連地址。
惡意地址:95.214.27.194,病毒家族:moobot。通報指出,這是一種Mirai僵尸網絡的變種,常借助各種IoT設備漏洞進行入侵,攻擊者在成功入侵設備后將下載MooBot的二進制文件并執行,進而組建僵尸網絡并可能發起分布式拒絕服務(DDos)攻擊。
惡意地址:dovahnoh1.duckdns.org,威脅類型:網絡后門,病毒家族:Asyncrat。通報指出,該惡意地址關聯多個Asyncrat病毒家族樣本。該網絡后門采用C#語言編寫,主要功能包括屏幕監控、鍵盤記錄、密碼獲取、文件竊取、進程管理、開關攝像頭、交互式SHELL,以及訪問特定URL等。該木馬通過移動介質、網絡釣魚等方式進行傳播,現已發現多個關聯變種,部分變種主要針對民生領域的聯網系統。
惡意地址:134.122.138.230:7021,威脅類型:網絡后門,病毒家族:SilverFox。通報指出,該惡意地址關聯SilverFox病毒家族樣本,相關樣本通過釣魚郵件進行傳播,經變種偽裝成企業內部應用軟件誘騙用戶下載點擊。
“惡意網址,就是指網頁內容存在惡意信息,會給訪問者造成損失或破壞的網址。”奇安信行業安全研究中心主任裴智勇對中國消費者報記者說,“從技術角度看,可以分為掛馬網頁、釣魚網頁、惡意控制服務器。”
據裴智勇介紹,掛馬網頁是指網頁上“掛”著“看不見”的惡意代碼,如果操作系統或瀏覽器存在安全漏洞,那么用戶一旦瀏覽或訪問這些網址,電腦或手機就會被自動植入的木馬程序所控制。釣魚網頁是指網頁內容中存在虛假或欺詐的信息,誘騙訪問者手動下載木馬程序或落入詐騙陷阱,如虛假的購物網站、虛假的投資網站、虛假的博彩網站等。惡意控制服務器,是黑客遙控木馬程序的服務器。用戶電腦或手機一旦木馬病毒感染,木馬病毒就會從惡意控制服務器上接收攻擊指令,或向惡意控制服務器上傳用戶數據。
據裴智勇介紹,惡意網址的制造者最常見的是黑產團伙、網絡戰組織、勒索組織和僵尸網絡,都是黑產團伙、黑客組織為了盜取用戶財產、竊取用戶數據、監視用戶隱私等不法目的而設立的。也有一小部分惡意網址,是國家級黑客組織,也可以稱為網絡戰組織所設立的,目的是對國家政府、科研、軍隊、金融等機構系統,實施定點定向攻擊,以竊取國家機密或進行惡意破壞。
據介紹,勒索組織是近年來興起的一種新型網絡攻擊組織,他們通過勒索軟件強行加密用戶電腦或手機中的數據文件,受害者只有支付贖金才能把數據解密恢復。勒索組織是惡意網址的制造者之一。僵尸網絡是指由惡意控制服務器和被入侵控制的終端設備,如電腦、手機、攝像頭等物聯網設備,共同組成的惡意網絡。黑客可以通過操控惡意控制服務器,操縱整個僵尸網絡中的所有設備,對指定的目標發動各種網絡攻擊。
不要點開不熟悉的網址
國家網絡與信息安全信息通報中心給出了排除方法,單位和個人用戶要詳細查看分析瀏覽器記錄以及網絡設備中近期流量和DNS請求記錄,查看是否有以上惡意地址連接記錄,如有條件可提取源IP、設備信息、連接時間等信息。部署網絡流量檢測設備進行流量數據分析,追蹤與上述網絡和IP發起通信的設備網上活動痕跡。如能成功定位到遭受攻擊的聯網設備,可主動對這些設備進行勘驗取證,進而組織技術分析。
該中心建議,用戶要對所有通過社交平臺或電子郵件渠道接收的文件和鏈接保持高度警惕,重點關注其中來源未知或不可信的情況,不要輕易信任或打開相關文件;及時在威脅情報產品或網絡出口防護設備中更新規則,堅決攔截以上惡意網址和惡意IP的訪問。
裴智勇認為,防范惡意網址的攻擊,是企業和個人自我保護的重要一環。企業可以通過各類防護設備,攔截員工對惡意網址的訪問,從而保護內網系統不被入侵。普通個人,則應通過安裝安全軟件、使用具有惡意網址攔截功能的安全瀏覽器來防范惡意網址的攻擊。目前,主流的國產瀏覽器都已經具備惡意網址攔截功能,每天都會幫助中國用戶攔截來自全球的,數以百萬計的惡意網址攻擊。
