官方发布：境外恶意网络资源最新黑名单

7月7日，官方中新网发布消息称，发布据国家网络安全通报中心官方微信表述，境外中国国家网络与信息安全信息通报中心借助支撑单位，恶意发觉了一批境外恶意网址以及恶意IP，网络境外黑客组织利用这些网址和IP，资源最新不断地对中国以及其他国家发起网络攻击。黑名这些恶意网址和IP都跟特定木马程序或者木马程序控制端紧密关联，官方网络攻击类型涵盖建立僵尸网络、发布后门利用等，境外对中国国内联网单位以及互联网用户构成重大威胁。恶意与此有关的网络恶意网址以及恶意IP归属的地方主要涵盖：美国，荷兰，资源最新瑞士，黑名比利时，官方波兰，南非，立陶宛。主要呈现的情形像是这样： 一、恶意地址信息 (一)恶意地址：servicee.kozow.com 关联IP地址：148.135.120.166 归属地：美国/加利福尼亚州/洛杉矶 威胁类型：后门 病毒家族：Zegost 描述：存在这样一种远控木马，它会于系统当中植入后门，会从C2站点那里接收控制指令，具备下载文件的能力，拥有执行指定程序的本事，能够收集系统信息，还可以结束进程等。其通常会把自身伪装成压缩包、图片这类文档或者系统文件，从而诱导用户去点击执行。 (二)恶意地址：196.251.118.12 归属地：荷兰/北荷兰省/阿姆斯特丹 威胁类型：僵尸网络 病毒家族：Gafgyt 这是一种物联网僵尸网络病毒，它基于因特网中继聊天的协议。它主要通过漏洞利用，以及内置的用户名、密码字典，采用Telnet和SSH暴力破解等方式来扩散传播。它能够扫描网络设备，还能攻击网络摄像机、路由器等IoT设备。在攻击成功之后，它利用僵尸程序形成僵尸网络，进而对目标网络系统发起分布式拒绝服务攻击。那样可能会造成大面积网络瘫痪。 (三)恶意地址：emuvuzarern.info 关联IP地址：5.79.71.205 归属地：荷兰/北荷兰省/阿姆斯特丹 威胁类型：僵尸网络 病毒家族：MooBot 下面这种，是Mirai僵尸网络的一种变种，它常常借助各类IoT设备漏洞，像CVE - 2015 - 2051、CVE - 2018 - 6530、CVE - 2022 - 26258、CVE - 2022 - 28958等等来进行入侵，攻击者在成功入侵设备之后，会下载MooBot的二进制文件并且执行，接着组建僵尸网络，还可能发起DDoS（分布式拒绝服务）攻击。 (四)恶意地址：zrysdxnzmo.antiwifi.cc 关联IP地址：87.121.84.50 归属地：荷兰 威胁类型：僵尸网络 病毒家族：Mirai 这是一种病毒，属于Linux僵尸网络类，它借助网络下载的办法，利用漏洞利用手段，通过Telnet还有SSH暴力破解等途径来实现扩散，在入侵成功过后，能够针对目标网络系统发起分布式拒绝服务，也就是DDoS攻击。 (五)恶意地址：svhostlo.duckdns.org 关联IP地址：196.251.86.65 归属地：瑞士/苏黎世州/苏黎世 威胁类型：后门 病毒家族：AsyncRAT 其描述为，那个后门是运用C#语言所编写，其主要具备的功能涵盖了屏幕监控，还有键盘记录，以及密码获取，再者文件窃取，另外进程管理，再就是开关摄像头，还有交互式SHELL，以及去访问特定URL等。它主要是经由移动介质以及网络钓鱼等诸多方式来实施传播，如今已经发现了多个存在关联的变种，其中部分变种侧重点是针对民生领域的联网系统。 (六)恶意地址：syr015.ddns.net 关联IP地址：94.110.99.162 归属地：比利时/安特卫普/安特卫普 威胁类型：后门 病毒家族：NjRAT 这个后门，是用 C#编写而成的远程访问木马，它有着屏幕监控功能，能进行键盘记录，还可以窃取密码，能对文件进行管理，包括上传操作、下载行为、删除指令以及重命名文件，也具备进程管理能力，能着手启动进程或者终止进程，能够远程激活摄像头，拥有交互式 Shell 也就是远程命令执行的本事，能访问特定 URL，还有其他多种恶意控制功能，一般借助移动存储介质来完成感染过程，或是通过网络钓鱼邮件进行传播，也会通过恶意链接达成这一步，它被用于非法监控，用于数据窃取，用于远程控制受害者的计算机。 (七)恶意地址：test.galaxias.cc 关联IP地址：51.38.146.208 归属地：波兰/马佐夫舍省/华沙 威胁类型：僵尸网络 病毒家族：Mirai 描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。 (八)恶意地址：www.ees-ro.com 关联IP地址：196.251.115.153 归属地：南非/豪登/约翰内斯堡 威胁类型：后门 病毒家族：RemCos RemCos是一款远程管理工具，它发布 在2016年，最新版本的RemCos能够执行多种恶意活动，这些活动包含键盘记录，还有截取屏幕截图以及窃取密码等，而且 攻击者可以利用受感染系统的后门访问权限收集敏感信息 ，进而 远程控制系统。 (九)恶意地址：pureee.ydns.eu 关联IP地址：176.65.144.139 归属地：立陶宛 威胁类型：后门 病毒家族：RemCos 描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码，攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。 (十)恶意地址：xnxx.galaxias.cc 关联IP地址：176.65.144.209 归属地：立陶宛 威胁类型：僵尸网络 病毒家族：Mirai 描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。 二、排查方法 (一)细致地去查看、剖析浏览器的记录，以及网络设备里头近期的流量、DNS请求记录，查看是不是存在上述恶意地址的连接记录，要是有条件，能够提取源IP、设备信息、连接时间等信息来展开深入的分析。 (二)于本单位应用系统里，部署网络流量检测设备，用来做流量数据分析，追踪那与上述网址以及IP发起通信的设备，在网络上的活动痕迹。 (三)要是能达成成功定位到遭受攻击的联网着的设备，就能够主动地针对这些设备去开展勘验取证的行动，进而着手组织技术分析的工作。 三、处置建议 (一)对于所有经由社交平台或者电子邮件渠道所接收的文件以及链接，要始终保持高度的警惕，着重去关注那些其中来源未知或者不可信的状况，千万不要轻轻松松就去信任或者把相关文件打开。 (二)趁时间还来得及，在那些用于威胁情报的产品里边，或者是网络出口处的防护设备当中，将规则予以更新，一定要果断坚决地去拦截对上面提到的恶意网址以及恶意IP的任何访问行为。 (三)向公安机关及时报告，配合开展现场调查和技术溯源。