重点防范境外恶意网址与IP威胁

国家网络与信息安全信息通报中心通过支撑单位排查出一批境外恶意网址和IP，这些地址正被境外黑客组织用来对中国以及其他国家的联网单位和个人持续发动网络攻击，威胁包括后门控制和僵尸网络组建，风险不小。

接到通报后，第一步是堵截这些地址并赶紧在防护设备上更新拦截规则，把名单拉进黑名单。要把注意力放到网络出口、防火墙、代理和DNS解析点上，保证这些IP和域名不能再和内网主机建立连接。发现可疑连接的，立即隔离设备，做取证。在配合公安的同时，企业内部应启动应急处置流程，把访问日志、流量抓包、相关设备信息保存好，以便后续分析。说直白的，事儿不能拖，能封就先封，取证留证要及时。

通报里提到的这些恶意地址，分布在美、英、德、荷、克罗地亚、塞浦路斯、巴西、土耳其、保加利亚等国家，和几类知名的木马或僵尸网络家族有关。总体攻击手法可归为两个方向：一是植入后门、窃取凭证、远程操控；二是利用物联网设备形成僵尸网络，发起DDoS等攻击。细节放在下面，按事件梳理顺序倒着写，便于逐步追溯。

先说几个后门型的。weefaf.duckdns.org，解析到213.238.187.95，归属土耳其伊斯坦布尔，关联木马家族是DarkKomet。这个后门能用图形界面操控被控主机，能改系统设置、截屏、键盘记录，还能打开摄像头和麦克风，和控制端通过套接字通信，能接收命令下载执行文件。听上去就是典型的远控间谍工具。godwilling.duckdns.org，对应IP为107.175.148.116，位于美国纽约布法罗，关联RemCos。RemCos从2016年就有了，最新版本能记录键盘、抓屏、偷密码，拿到后门权限后可以远程控制并窃取敏感信息。ratmainz.ink，IP是91.92.243.128，在保加利亚大特尔诺沃，还是RemCos，行为和上面类似。
danielaespeleta708090.duckdns.org，IP 45.88.186.251，位于荷兰阿姆斯特丹，关联Crysan。这类后门有反检测能力，会先探测虚拟机或沙箱特征，确认自己不是在分析环境里才展开行动，然后复制到特定目录并建立自启动（任务计划、启动文件夹或注册表），之后联系C&C，执行下载、信息收集等操作。总之，后门型的侧重长期潜伏和数据窃取。

再说几种通过弱口令、漏洞和远程服务传播、组建僵尸网络的。vmr3b.bounceme.net，解析到41.216.189.110，德国法兰克福，属Mirai家族。它主要在Linux设备上扩散，靠下载、漏洞利用、Telnet/SSH暴力破解，一旦成功就把设备拉进僵尸网络，用于DDoS攻击。sophos1997.camdvr.org，IP 191.19.217.13，位于巴西圣保罗，还是Mirai，行为类似。还有两个Gafgyt相关地址，45.95.169.105（克罗地亚西萨克）和194.30.129.226（塞浦路斯尼科西亚），这类是基于IRC协议的物联网僵尸网络，常用用户名/密码字典爆破、Telnet/SSH入侵，能扫描摄像头、路由器等设备并把它们编入僵尸群进行规模性DDoS。荷兰的
antizerolant-monogevudom.info，IP 85.17.31.82，归属阿姆斯特丹，关联的是MooBot，一个Mirai的变种，专门借助多项IoT漏洞入侵，通报列出的参考漏洞包括CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958。入侵成功后会下载MooBot二进制并执行，进而形成僵尸网络。看完这些，能想象一旦设备被拉进去，恢复难度不小。

其中一个域名比较敏感，ihatefaggots.cc，解析到158.94.209.205，位于英国伦敦，关联家族名是Tasker。Tasker这类远控木马会被安装到%AppData%或%ProgramData%目录，通过创建计划任务实现持久化。它会尝试连接C&C，一旦上线，攻击者能拿到机器信息、用户凭据，执行远程命令，下载并执行文件，甚至发动DDoS。有些变种还会下载Tor组件，通过Tor做匿名的C&C连接，追踪难度增加。这类通过社交工程或访问不安全网站被动感染的情况很常见，别小看一个误点。

通报不仅列出这些地址，还给了排查的方法。要把重点放在浏览器历史、网络设备的近期流量和DNS查询上，查有没有和这些域名或IP的连接记录。如果条件允许，尽量把源IP、设备信息、连接时间一并提取出来。单位里可以部署流量监测设备，对通信流量做深度分析，追踪与这些恶意地址通信的设备活动痕迹。如果能定位到被攻击的联网设备，就要做现场勘验取证，保存镜像、日志和相关文件，交给技术团队做进一步分析。别忘了把相关证据交给公安，协同溯源是很重大的。话说回来，这些步骤听着官方化，但真干起来就是一堆日志和抓包要处理，得有人耐心盯着。

在处置层面，通报给了几条提议，要格外小心来自社交平台或邮件的不明文件和链接，来源不明的一律别随意点。把这些恶意IP和域名加入威胁情报产品或出口防护设备的阻断规则里，做到在入口就把风险挡住。发现攻击线索，要及时向公安报案并配合现场调查及技术取证。对内部系统来说，更新防护规则是日常，但遇到这种名单就要优先执行，别抱侥幸心理。

通报里每一条恶意地址都有具体归属地和特征，留着这份名单做黑名单是必要的。查日志时，注意时间点的对应关系，谁在什么时间访问了哪个域名，关联的设备型号、操作系统、用户，都要尽量收集完整。对IoT设备的巡检也别松懈，许多僵尸网络就是靠默认密码和已知漏洞下手，固件补丁、改默认密码、关闭不必要的远程服务，这些基本操作能挡掉一半攻击面。

最后说两句个人感受：这样的情报放出并不罕见，但每次都能提醒大家一遍——网络防护不是一锤子工程，平时的维护和日志习惯真有用。事情就是这样，信息在这儿，动作得跟上。