360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器360安全卫士近期威胁形势分析
- 2018-06-29 19:49:23
本文是根据360互联网安全中心在2018年6月18日至2018年6月29日拦截到攻击的攻击数量、攻击类型和攻击手法所撰写的“近期威胁形势分析”。本文中提供的IOC信息用于帮助友商及相关人士对对应的攻击进行预警和防御。(注:本文中的IOC仅涉及6.18-6.29出现的新木马家族相关的域名、ip信息以及已知木马家族在这两周活动时使用的新域名、ip信息,历史IOC信息请查阅本系列前几篇报告。)
一、 挖矿木马攻击
针对Windows服务器的小规模入侵挖矿事件频发。过去针对Windows服务器的挖矿木马主要遵循“入侵——〉建立僵尸网络——〉挖矿获利”的攻击流程,而近期出现了较多规模较小的“一次性”服务器入侵挖矿攻击。这类攻击一般只在特定时间发生,且持续时间不长,黑客只向服务器投递挖矿木马,而不利用服务器对其他机器进行扫描入侵来建立僵尸网络。这类攻击由于不具备持久性较难被观察到。在之前的威胁预警中提到一些提供位置服务的Windows服务器遭到来自ip 121.41.33.131的攻击就属于这一类型的攻击。
图1 121.41.33.131发起攻击的时间及影响计算机数量柱状图显示该攻击只在特定时间进行
在漏洞使用方面,这类挖矿木马主要使用当下比较流行的几个Weblogic、Jboss、Struts平台的漏洞,也有部分通过远程桌面爆破、MsSql弱口令爆破入侵服务器。几乎每个发起攻击的黑客都会使用多个针对不同平台的漏洞以求入侵更多计算机。
IOC
hxxp://211.149.176.110:666/winlogonx.exe
hxxp://103.99.115.220:8080/xmrig.exe
hxxp://103.99.115.220:8080/aaa.exe
yamMiner更新。沉寂多时的挖矿僵尸网络yamMiner在6月27日左右进行更新,在这次更新中yamMiner使用两个新的载荷托管地址,并且落地的挖矿木马文件名也改为随机名称以躲避杀软查杀。
图2 新版本yamMiner部分代码截图
IOC
hxxp://66.212.17.162:7001/console/css/test.ps1
hxxp://66.212.17.162:7001/console/css/winpm.ps1
hxxp://66.212.17.162:7001/console/css/freewin
hxxp://dl.peanutman.ru/winpm.ps1
hxxp://dl.peanutman.ru/test.ps1
hxxp://dl.peanutman.ru/freewin
大量挖矿木马通过网页挂马形式下发,影响使用刷流量软件的用户。前段时间友商报告部分刷流量软件请求挂马页面后触发漏洞下发挖矿木马、DDos木马的情况。根据360互联网安全中心的监测,在这两周时间内有大量挖矿木马通过此类挂马页面下发,挂马漏洞主要为IE漏洞CVE-2018-8174和flash漏洞CVE-2018-4878。
IOC
hxxp://www.wulei168.pw:1235/sql.exe
hxxp://666.926cs.com/win32.exe
hxxp://111.73.46.18:2998/xzz.scr
hxxp://118.24.73.34:9999/studyy.exe
hxxp://58.218.56.90:8080/vmwarerss.exe
二、 勒索病毒攻击
近期,针对服务器数据库的勒索家族Satan发起的攻击呈现上升趋势。图3展示了4月至6月360互联网安全中心监测到的受到Satan勒索病毒攻击的计算机数量(按周统计),不难看出在最近这段时间Satan勒索病毒出现了大爆发,单日受影响服务器数量最高将近1000台。
图3 360互联网安全中心监测到的受到Satan勒索病毒攻击的计算机数量变化趋势
幸运的是,Satan勒索病毒并未改变其载荷托管地址,依然使用101.99.84.136这个ip作为载荷托管地址,防御方可以针对此ip进行防御。
IOC
101.99.84.136
三、 银行木马攻击
银行木马攻击一直是国内个人及企业最常遭遇的攻击之一。黑客通过垃圾邮件传递带有Office漏洞利用代码或者恶意宏的文档对用户发起攻击。从攻击源看,几乎所有攻击都来自国外。图4是这段时间发起银行木马攻击的家族分布柱状图。
图4 银行木马家族分布柱状图
其中LokiBot是最为活跃的银行木马家族,其次是Pony。在漏洞使用方面,微软公式编辑器漏洞CVE-2017-11882和CVE-2018-0802的使用占比在90%以上,仅有不到10%使用Office恶意宏或者其他Office漏洞,如图5所示。
图5 银行木马攻击漏洞使用情况
IOC
LokiBot
hxxp://cselegance.com/vib1.exe
hxxp://csabulk.com/west/sop1.exe
hxxp://abatii.web.id/isupa/po.exe
hxxp://em-latee.cf/both/soa.exe
hxxp://vardey.tk/maka/new
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/pa1.exe
hxxp://www.triurnph-china.com/maski.msi
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/temp1.exe
hxxp://asamshut.ml/emzii/soa.exe
hxxp://uploadtops.is/1//f/cbjcywf
hxxp://uploadtops.is/1//f/qrvovd7
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/4fb.exe
hxxp://www.triurnph-china.com/1234.msi
hxxp://uploadtops.is/1//f/wr2jwj4
hxxp://abatii.web.id/zor/0075656002453.exe
hxxp://maalikitreeservices.com.au/yuc.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/ar1.exe
hxxps://lokipanelhostingnew.cf/wordpress/wp-includes/images/wlw/xa2.exe
hxxp://abatii.web.id/smart/order.exe
hxxp://cortlnachina.com/dada_253782.exe
hxxp://lokipanelhostingnew.gq/wordpress/1ab.exe
hxxp://185.227.83.56:4560/soldi.exe
hxxp://confirm-your-accounts-1146.ml/rf/uc1.exe
hxxp://lokipanelhostingnew.gq/wordpress/2p.exe
hxxp://31.220.40.22/~blackdia/enesfolder/0000000.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/crystal/p1.exe
hxxp://rnicrosoft.cf/1.exe
hxxp://servicelearning.thu.edu.tw/tk.exe
hxxp://185.227.83.56:4560/sayofis.exe
hxxp://indostraits.co.id/dafff.exe
hxxp://csabulk.com/west/upx.exe
hxxp://servicelearning.thu.edu.tw/zeya.exe
hxxp://ayerstechnology.com/u.msi
hxxp://www.triurnph-china.com/8776tt.exe
hxxp://internationalcon.com/ar/jakuzo/fynoy/ste.exe
hxxp://jessicalinden.net/wp-ftp/ghh.exe
hxxp://servicelearning.thu.edu.tw/zey.exe
hxxp://indostraits.co.id/kane.exe
hxxp://picluib-jp.co/sop.exe
hxxp://uploadtops.is/1//f/jpjdkuw
hxxp://csabulk.com/west/tekex1.exe
hxxp://em-latee.cf/park/purchase
hxxp://31.220.40.22/~obahomer/1234567890.exe
hxxp://abatii.web.id/ojay/quotation.exe
hxxp://salesxpert.ml/exp/tclokii.exe
hxxp://www.mimicbngovy.ru/petit/order.exe
hxxp://indostraits.co.id/yahooooooo.exe
hxxp://picluib-jp.co/tekex.exe
hxxp://lokipanelhostingnew.gq/wordpress/wp-includes/images/media/tt2.exe
hxxp://zenshinonline.ru/images/jon001.exe
hxxp://earthart.org/inco/oodds.exe
hxxp://meta-mim.in/uc1.exe
hxxp://decalogoabogados.com/tread/zey.exe
hxxp://indostraits.co.id/dave.exe
Pony
hxxp://indostraits.co.id/conte.exe
hxxp://sinutinu.com/edusite/quopes/sowypzqstfhupo.exe
hxxp://tpreiastephenville.com/fr2.exe
hxxp://grafoinvest.rs/97.scr
hxxp://185.227.83.56:4560/press1.exe
hxxp://syscore.duckdns.org/jhonvn/vbc.exe
hxxp://energy.rs/40.scr
hxxp://mders77.5gbfree.com/koda.exe
hxxp://fovig.be/admin/jon001.exe
hxxp://107.173.219.125/wrk.exe
hxxp://psatafoods.com/waplord/neworder.exe
hxxp://grafoinvest.rs/17.scr
hxxp://grafoinvest.rs/07.scr
hxxp://syscore.duckdns.org/tonychunks/fb.exe
hxxp://grafoinvest.rs/54.scr
hxxp://olorioko.ga/bin/kenny.exe
hxxp://indostraits.co.id/chi.exe
hxxp://grafoinvest.rs/83.scr
hxxp://grafoinvest.rs/11.scr
hxxp://23.249.161.109/wrd/zomamez.exe
hxxp://zigizaga.gq/net.exe
hxxp://mirocaffe.ro/7f.exe
hxxp://sauditechnical-sa.com
hxxp://23.249.161.109/wrd/carmen.exe
hxxp://23.249.161.109/wrd/mamez.exe
FormBook
hxxp://www.kwikri.com/.well-known/5sun.exe
hxxp://i-razum.ru/th/po.exe
hxxp://arasscofood.com/hm/aae.exe
hxxp://earthart.org/dev/ers.exe
hxxp://arasscofood.com/b/a.exe
hxxp://uploadtops.is/1//f/7brb9i0
hxxp://albazrazgroup.com/hrd/roc.exe
hxxp://majormixer.com/images/scann.exe
hxxp://syscore.duckdns.org/shell/vbc.exe
AgentTesla
hxxp://23.249.161.109/wrd/jhn.exe
hxxp://cafeelcafee.com/cbg/coz.exe
hxxp://yihhvva.com/ft/ag.exe
hxxp://sunusa.in//img/mine10/phynollllll.exe
RemcosRAT
hxxp://107.173.219.125/w/dns.exe
TrickBot
hxxp://bismillah-sourcing.com/sec.bin
hxxp://woodbeei.com/leap.bin
hxxp://chimachinenow.com/cherry.png
hxxp://sabarasourcing.com/mo.bin
Ursnif
hxxp://tonetdog.com/ecotime\
HawkEye
hxxp://uploadtops.is/1//f/0vfsn7d
hxxp://indostraits.co.id/znsaaa.exe
Heodo
hxxp://acantara.ml/emexco/po.exe
NetWire
hxxp://23.249.161.38/outlokk.exe
SmokeLoader
hxxp://cloudphotos.party/fogliodati\
njRAT
hxxp://secured.monclaer.com/system.123
京公网安备 11000002000006号