关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 360手机官网 | 社区客户端

推荐 论坛 版块 活动 好奇者试用 商城
本帖最后由 漠视迩旳骄傲 于 2018-7-2 18:18 编辑

       本文是根据360互联网安全中心在2018年6月18日至2018年6月29日拦截到攻击的攻击数量、攻击类型和攻击手法所撰写的“近期威胁形势分析”。本文中提供的IOC信息用于帮助友商及相关人士对对应的攻击进行预警和防御。(注:本文中的IOC仅涉及6.18-6.29出现的新木马家族相关的域名、ip信息以及已知木马家族在这两周活动时使用的新域名、ip信息,历史IOC信息请查阅本系列前几篇报告。)

一、 挖矿木马攻击
针对Windows服务器的小规模入侵挖矿事件频发。过去针对Windows服务器的挖矿木马主要遵循“入侵——〉建立僵尸网络——〉挖矿获利”的攻击流程,而近期出现了较多规模较小的“一次性”服务器入侵挖矿攻击。这类攻击一般只在特定时间发生,且持续时间不长,黑客只向服务器投递挖矿木马,而不利用服务器对其他机器进行扫描入侵来建立僵尸网络。这类攻击由于不具备持久性较难被观察到。在之前的威胁预警中提到一些提供位置服务的Windows服务器遭到来自ip 121.41.33.131的攻击就属于这一类型的攻击。

360社区

360社区

              图1 121.41.33.131发起攻击的时间及影响计算机数量柱状图显示该攻击只在特定时间进行
在漏洞使用方面,这类挖矿木马主要使用当下比较流行的几个Weblogic、Jboss、Struts平台的漏洞,也有部分通过远程桌面爆破、MsSql弱口令爆破入侵服务器。几乎每个发起攻击的黑客都会使用多个针对不同平台的漏洞以求入侵更多计算机。
IOC
hxxp://211.149.176.110:666/winlogonx.exe
hxxp://103.99.115.220:8080/xmrig.exe
hxxp://103.99.115.220:8080/aaa.exe

yamMiner更新。沉寂多时的挖矿僵尸网络yamMiner在6月27日左右进行更新,在这次更新中yamMiner使用两个新的载荷托管地址,并且落地的挖矿木马文件名也改为随机名称以躲避杀软查杀。

360社区

360社区

    图2 新版本yamMiner部分代码截图
IOC
hxxp://66.212.17.162:7001/console/css/test.ps1
hxxp://66.212.17.162:7001/console/css/winpm.ps1
hxxp://66.212.17.162:7001/console/css/freewin
hxxp://dl.peanutman.ru/winpm.ps1
hxxp://dl.peanutman.ru/test.ps1
hxxp://dl.peanutman.ru/freewin

     大量挖矿木马通过网页挂马形式下发,影响使用刷流量软件的用户。前段时间友商报告部分刷流量软件请求挂马页面后触发漏洞下发挖矿木马、DDos木马的情况。根据360互联网安全中心的监测,在这两周时间内有大量挖矿木马通过此类挂马页面下发,挂马漏洞主要为IE漏洞CVE-2018-8174和flash漏洞CVE-2018-4878。
IOC
hxxp://www.wulei168.pw:1235/sql.exe
hxxp://666.926cs.com/win32.exe
hxxp://111.73.46.18:2998/xzz.scr
hxxp://118.24.73.34:9999/studyy.exe
hxxp://58.218.56.90:8080/vmwarerss.exe

二、 勒索病毒攻击
      近期,针对服务器数据库的勒索家族Satan发起的攻击呈现上升趋势。图3展示了4月至6月360互联网安全中心监测到的受到Satan勒索病毒攻击的计算机数量(按周统计),不难看出在最近这段时间Satan勒索病毒出现了大爆发,单日受影响服务器数量最高将近1000台。

360社区

360社区

     图3 360互联网安全中心监测到的受到Satan勒索病毒攻击的计算机数量变化趋势
幸运的是,Satan勒索病毒并未改变其载荷托管地址,依然使用101.99.84.136这个ip作为载荷托管地址,防御方可以针对此ip进行防御。
IOC
101.99.84.136

三、 银行木马攻击
      银行木马攻击一直是国内个人及企业最常遭遇的攻击之一。黑客通过垃圾邮件传递带有Office漏洞利用代码或者恶意宏的文档对用户发起攻击。从攻击源看,几乎所有攻击都来自国外。图4是这段时间发起银行木马攻击的家族分布柱状图。

360社区

360社区

      图4 银行木马家族分布柱状图
其中LokiBot是最为活跃的银行木马家族,其次是Pony。在漏洞使用方面,微软公式编辑器漏洞CVE-2017-11882和CVE-2018-0802的使用占比在90%以上,仅有不到10%使用Office恶意宏或者其他Office漏洞,如图5所示。

360社区

360社区

   图5 银行木马攻击漏洞使用情况
IOC
LokiBot
hxxp://cselegance.com/vib1.exe
hxxp://csabulk.com/west/sop1.exe
hxxp://abatii.web.id/isupa/po.exe
hxxp://em-latee.cf/both/soa.exe
hxxp://vardey.tk/maka/new
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/pa1.exe
hxxp://www.triurnph-china.com/maski.msi
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/temp1.exe
hxxp://asamshut.ml/emzii/soa.exe
hxxp://uploadtops.is/1//f/cbjcywf
hxxp://uploadtops.is/1//f/qrvovd7
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/4fb.exe
hxxp://www.triurnph-china.com/1234.msi
hxxp://uploadtops.is/1//f/wr2jwj4
hxxp://abatii.web.id/zor/0075656002453.exe
hxxp://maalikitreeservices.com.au/yuc.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/ar1.exe
hxxps://lokipanelhostingnew.cf/wordpress/wp-includes/images/wlw/xa2.exe
hxxp://abatii.web.id/smart/order.exe
hxxp://cortlnachina.com/dada_253782.exe
hxxp://lokipanelhostingnew.gq/wordpress/1ab.exe
hxxp://185.227.83.56:4560/soldi.exe
hxxp://confirm-your-accounts-1146.ml/rf/uc1.exe
hxxp://lokipanelhostingnew.gq/wordpress/2p.exe
hxxp://31.220.40.22/~blackdia/enesfolder/0000000.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/p1.exe
hxxp://rnicrosoft.cf/1.exe
hxxp://servicelearning.thu.edu.tw/tk.exe
hxxp://185.227.83.56:4560/sayofis.exe
hxxp://indostraits.co.id/dafff.exe
hxxp://csabulk.com/west/upx.exe
hxxp://servicelearning.thu.edu.tw/zeya.exe
hxxp://ayerstechnology.com/u.msi
hxxp://www.triurnph-china.com/8776tt.exe
hxxp://internationalcon.com/ar/jakuzo/fynoy/ste.exe
hxxp://jessicalinden.net/wp-ftp/ghh.exe
hxxp://servicelearning.thu.edu.tw/zey.exe
hxxp://indostraits.co.id/kane.exe
hxxp://picluib-jp.co/sop.exe
hxxp://uploadtops.is/1//f/jpjdkuw
hxxp://csabulk.com/west/tekex1.exe
hxxp://em-latee.cf/park/purchase
hxxp://31.220.40.22/~obahomer/1234567890.exe
hxxp://abatii.web.id/ojay/quotation.exe
hxxp://salesxpert.ml/exp/tclokii.exe
hxxp://www.mimicbngovy.ru/petit/order.exe
hxxp://indostraits.co.id/yahooooooo.exe
hxxp://picluib-jp.co/tekex.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/tt2.exe
hxxp://zenshinonline.ru/images/jon001.exe
hxxp://earthart.org/inco/oodds.exe
hxxp://meta-mim.in/uc1.exe
hxxp://decalogoabogados.com/tread/zey.exe
hxxp://indostraits.co.id/dave.exe

Pony
hxxp://indostraits.co.id/conte.exe
hxxp://sinutinu.com/edusite/quopes/sowypzqstfhupo.exe
hxxp://tpreiastephenville.com/fr2.exe
hxxp://grafoinvest.rs/97.scr
hxxp://185.227.83.56:4560/press1.exe
hxxp://syscore.duckdns.org/jhonvn/vbc.exe
hxxp://energy.rs/40.scr
hxxp://mders77.5gbfree.com/koda.exe
hxxp://fovig.be/admin/jon001.exe
hxxp://107.173.219.125/wrk.exe
hxxp://psatafoods.com/waplord/neworder.exe
hxxp://grafoinvest.rs/17.scr
hxxp://grafoinvest.rs/07.scr
hxxp://syscore.duckdns.org/tonychunks/fb.exe
hxxp://grafoinvest.rs/54.scr
hxxp://olorioko.ga/bin/kenny.exe
hxxp://indostraits.co.id/chi.exe
hxxp://grafoinvest.rs/83.scr
hxxp://grafoinvest.rs/11.scr
hxxp://23.249.161.109/wrd/zomamez.exe
hxxp://zigizaga.gq/net.exe
hxxp://mirocaffe.ro/7f.exe
hxxp://sauditechnical-sa.com
hxxp://23.249.161.109/wrd/carmen.exe
hxxp://23.249.161.109/wrd/mamez.exe

FormBook
hxxp://www.kwikri.com/.well-known/5sun.exe
hxxp://i-razum.ru/th/po.exe
hxxp://arasscofood.com/hm/aae.exe
hxxp://earthart.org/dev/ers.exe
hxxp://arasscofood.com/b/a.exe
hxxp://uploadtops.is/1//f/7brb9i0
hxxp://albazrazgroup.com/hrd/roc.exe
hxxp://majormixer.com/images/scann.exe
hxxp://syscore.duckdns.org/shell/vbc.exe

AgentTesla
hxxp://23.249.161.109/wrd/jhn.exe
hxxp://cafeelcafee.com/cbg/coz.exe
hxxp://yihhvva.com/ft/ag.exe
hxxp://sunusa.in//img/mine10/phynollllll.exe

RemcosRAT
hxxp://107.173.219.125/w/dns.exe

TrickBot
hxxp://bismillah-sourcing.com/sec.bin
hxxp://woodbeei.com/leap.bin
hxxp://chimachinenow.com/cherry.png
hxxp://sabarasourcing.com/mo.bin

Ursnif
hxxp://tonetdog.com/ecotime\\

HawkEye
hxxp://uploadtops.is/1//f/0vfsn7d
hxxp://indostraits.co.id/znsaaa.exe

Heodo
hxxp://acantara.ml/emexco/po.exe

NetWire
hxxp://23.249.161.38/outlokk.exe

SmokeLoader
hxxp://cloudphotos.party/fogliodati\\

njRAT
hxxp://secured.monclaer.com/system.123

共 6 个关于【各类挖矿勒索病毒层出不穷,360已支持全面防御】安全卫士近期威胁形势分析的回复 最后回复于 2018-7-4 10:31

评论

直达楼层

漠视迩旳骄傲 产品答疑师 楼主 发表于 2018-7-2 18:22 | 显示全部楼层 | 私信
一大波病毒来袭,请广大用户注意防范
崬汸羽蓒 LV6.中尉 发表于 2018-7-2 21:54 | 显示全部楼层 | 私信
支持下 楼主
~~
vixenxyy LV10.上校 发表于 2018-7-3 07:50 | 显示全部楼层 | 私信
支持
Renavatio莲子 LV2.下士 发表于 2018-7-3 10:05 | 显示全部楼层 | 私信
!!!一大早起来 就受到galaxyguards@protonmail.com 病毒勒索!!!!
漠视迩旳骄傲 已在对应帖子下回复详情:此病毒卫士已知可防护,针对部分文件可解密。 
2018-7-3 10:37回复
hphyzyl LV5.少尉 发表于 2018-7-4 07:48 | 显示全部楼层 | 私信
每天养成习惯,用卫士检查一下自己的电脑。
xbtglibai360 LV12.少将 发表于 2018-7-4 10:31 | 显示全部楼层 | 私信
已用360扫描,一切正常
您需要登录后才可以回帖 登录 | 注册

本版积分规则

漠视迩旳骄傲 产品答疑师

粉丝:18 关注:0 积分:4276

精华:0 金币:1629 经验:2218

最后登录时间:2018-09-26

私信 加好友

漠视迩旳骄傲

粉丝:18 关注:0

私信

最新活动

中秋节活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        360社区客户端下载

        快速回复 返回顶部 返回列表