7个恶意网址和IP被通报专家支招如何防范|僵尸网络_新浪财经

转自：中国消费者报

中国消费者报报道（记者武晓莉）近期，中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，多个境外黑客组织，利用这些网址和IP持续发起网络攻击。从普通用户角度看，这些恶意网址和IP有何危害？是通过什么途径传给用户的？对用户有什么影响和危害？需要如何防范呢？

国家网络与信息安全信息通报中心通报指出，这7个恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒等，以达到窃取商业秘密和知识产权、侵犯公民个人信息等目的，对互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。

恶意地址：j.foxnointel.ru，关联IP地址：172.235.51.77，病毒家族：fodcha；恶意地址：a.foxnointel.ru，关联IP地址：92.223.30.136，病毒家族：fodcha。

通报指出，这两个都是一种DDoS僵尸网络木马，通过N-Day漏洞和Telnet、SSH弱口令进行传播。攻击者可控制被感染的“肉鸡”（联网终端），对互联网上的其他系统或设备发起DDoS攻击，导致关键信息基础设施或重要网络应用瘫痪，干扰破坏国计民生和社会公共秩序。

恶意地址：93.157.106.238，病毒家族：mirai。通报指出，这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDos）攻击。

恶意地址：LOADINGBOATS.DYN，关联IP地址：89.36.160.67，病毒家族：catddos。通报指出，Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播，该恶意地址是相关病毒家族近期有效活跃的回连地址。

恶意地址：95.214.27.194，病毒家族：moobot。通报指出，这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起分布式拒绝服务（DDos）攻击。

恶意地址：dovahnoh1.duckdns.org，威胁类型：网络后门，病毒家族：Asyncrat。通报指出，该恶意地址关联多个Asyncrat病毒家族样本。该网络后门采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。该木马通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

恶意地址：134.122.138.230:7021，威胁类型：网络后门，病毒家族：SilverFox。通报指出，该恶意地址关联SilverFox病毒家族样本，相关样本通过钓鱼邮件进行传播，经变种伪装成企业内部应用软件诱骗用户下载点击。

“恶意网址，就是指网页内容存在恶意信息，会给访问者造成损失或破坏的网址。”奇安信行业安全研究中心主任裴智勇对中国消费者报记者说，“从技术角度看，可以分为挂马网页、钓鱼网页、恶意控制服务器。”

据裴智勇介绍，挂马网页是指网页上“挂”着“看不见”的恶意代码，如果操作系统或浏览器存在安全漏洞，那么用户一旦浏览或访问这些网址，电脑或手机就会被自动植入的木马程序所控制。钓鱼网页是指网页内容中存在虚假或欺诈的信息，诱骗访问者手动下载木马程序或落入诈骗陷阱，如虚假的购物网站、虚假的投资网站、虚假的博彩网站等。恶意控制服务器，是黑客遥控木马程序的服务器。用户电脑或手机一旦木马病毒感染，木马病毒就会从恶意控制服务器上接收攻击指令，或向恶意控制服务器上传用户数据。

据裴智勇介绍，恶意网址的制造者最常见的是黑产团伙、网络战组织、勒索组织和僵尸网络，都是黑产团伙、黑客组织为了盗取用户财产、窃取用户数据、监视用户隐私等不法目的而设立的。也有一小部分恶意网址，是国家级黑客组织，也可以称为网络战组织所设立的，目的是对国家政府、科研、军队、金融等机构系统，实施定点定向攻击，以窃取国家机密或进行恶意破坏。

据介绍，勒索组织是近年来兴起的一种新型网络攻击组织，他们通过勒索软件强行加密用户电脑或手机中的数据文件，受害者只有支付赎金才能把数据解密恢复。勒索组织是恶意网址的制造者之一。僵尸网络是指由恶意控制服务器和被入侵控制的终端设备，如电脑、手机、摄像头等物联网设备，共同组成的恶意网络。黑客可以通过操控恶意控制服务器，操纵整个僵尸网络中的所有设备，对指定的目标发动各种网络攻击。

不要点开不熟悉的网址

国家网络与信息安全信息通报中心给出了排除方法，单位和个人用户要详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息。部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。如能成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

该中心建议，用户要对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件；及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

裴智勇认为，防范恶意网址的攻击，是企业和个人自我保护的重要一环。企业可以通过各类防护设备，拦截员工对恶意网址的访问，从而保护内网系统不被入侵。普通个人，则应通过安装安全软件、使用具有恶意网址拦截功能的安全浏览器来防范恶意网址的攻击。目前，主流的国产浏览器都已经具备恶意网址拦截功能，每天都会帮助中国用户拦截来自全球的，数以百万计的恶意网址攻击。