2022年8月6日,微步情报局发布已验证并且微步TDP产品已覆盖检测规则的重要HW IP 情报 100 条,样本情报 14 条,应急要闻 1条。
IP 情报
1. 快报IP情报:
| IP | 特征信息 |
| 101.35.47.183 | 疑似红队基础设施 |
| 101.43.152.181 | 疑似红队基础设施 |
| 121.4.60.187 | 疑似红队基础设施 |
| 112.74.33.122 | 恶意IP |
| 182.61.60.93 | 恶意IP |
| 180.76.184.229 | 疑似红队基础设施 |
| 8.141.159.248 | 疑似红队基础设施 |
| 219.152.170.146 | 疑似红队基础设施 |
| 124.220.34.90 | 疑似红队基础设施 |
| 175.24.184.205 | 疑似红队基础设施 |
| 114.116.17.55 | 疑似红队基础设施 |
| 118.195.225.147 | 恶意IP |
| 119.45.239.208 | 恶意IP |
| 182.92.103.86 | 恶意IP |
| 119.45.178.144 | 恶意IP |
| 118.195.241.10 | 恶意IP |
| 49.85.100.177 | 恶意IP |
| 118.195.213.239 | 恶意IP |
| 140.249.7.146 | 恶意IP |
| 118.195.212.46 | 恶意IP |
| 106.38.185.32 | 恶意IP |
| 118.113.245.15 | 恶意IP |
| 221.218.211.224 | 利用0day攻击,建议内部排查 |
| 222.90.62.176 | 利用0day攻击,建议内部排查 |
| 113.236.1.44 | 利用0day攻击,建议内部排查 |
| 113.195.27.123 | 利用0day攻击,建议内部排查 |
| 119.7.147.141 | 利用0day攻击,建议内部排查 |
| 117.69.234.140 | 利用0day攻击,建议内部排查 |
| 117.69.235.22 | 利用0day攻击,建议内部排查 |
| 36.27.184.95 | 利用0day攻击,建议内部排查 |
| 183.146.156.153 | 利用0day攻击,建议内部排查 |
| 60.182.39.83 | 利用0day攻击,建议内部排查 |
| 117.57.75.174 | 利用0day攻击,建议内部排查 |
| 183.155.109.14 | 利用0day攻击,建议内部排查 |
| 14.118.211.17 | 利用0day攻击,建议内部排查 |
| 117.57.75.57 | 利用0day攻击,建议内部排查 |
| 183.146.157.206 | 利用0day攻击,建议内部排查 |
| 117.69.235.219 | 利用0day攻击,建议内部排查 |
| 60.163.229.98 | 利用0day攻击,建议内部排查 |
| 115.210.70.175 | 利用0day攻击,建议内部排查 |
2. 高可信IP情报:
| IP | 特征信息 |
| 153.36.169.20 | 存在攻击行为的高可信恶意IP |
| 183.164.247.187 | 存在攻击行为的高可信恶意IP |
| 121.235.194.246 | 存在攻击行为的高可信恶意IP |
| 119.120.61.229 | 存在攻击行为的高可信恶意IP |
| 116.208.204.85 | 存在攻击行为的高可信恶意IP |
| 110.244.8.236 | 存在攻击行为的高可信恶意IP |
| 42.56.18.44 | 存在攻击行为的高可信恶意IP |
| 14.126.114.146 | 存在攻击行为的高可信恶意IP |
| 121.235.145.239 | 存在攻击行为的高可信恶意IP |
| 118.255.134.61 | 存在攻击行为的高可信恶意IP |
| 119.102.131.29 | 存在攻击行为的高可信恶意IP |
| 125.70.210.118 | 存在攻击行为的高可信恶意IP |
| 219.144.248.46 | 存在攻击行为的高可信恶意IP |
| 112.194.92.201 | 存在攻击行为的高可信恶意IP |
| 120.41.135.195 | 存在攻击行为的高可信恶意IP |
| 123.56.7.74 | 存在攻击行为的高可信恶意IP |
| 119.7.147.112 | 存在攻击行为的高可信恶意IP |
| 60.182.39.132 | 存在攻击行为的高可信恶意IP |
| 47.93.51.43 | 存在攻击行为的高可信恶意IP |
| 121.226.151.55 | 存在攻击行为的高可信恶意IP |
| 118.255.132.108 | 存在攻击行为的高可信恶意IP |
| 222.130.152.174 | 存在攻击行为的高可信恶意IP |
| 116.209.61.153 | 存在攻击行为的高可信恶意IP |
| 115.226.188.36 | 存在攻击行为的高可信恶意IP |
| 49.88.63.216 | 存在攻击行为的高可信恶意IP |
| 27.30.18.142 | 存在攻击行为的高可信恶意IP |
| 27.158.207.88 | 存在攻击行为的高可信恶意IP |
| 180.118.45.164 | 存在攻击行为的高可信恶意IP |
| 122.241.93.247 | 存在攻击行为的高可信恶意IP |
| 117.84.59.178 | 存在攻击行为的高可信恶意IP |
| 119.98.220.41 | 存在攻击行为的高可信恶意IP |
| 119.55.253.191 | 存在攻击行为的高可信恶意IP |
| 218.60.253.25 | 存在攻击行为的高可信恶意IP |
| 118.113.246.22 | 存在攻击行为的高可信恶意IP |
| 182.149.83.122 | 存在攻击行为的高可信恶意IP |
| 27.184.147.116 | 存在攻击行为的高可信恶意IP |
| 27.22.8.81 | 存在攻击行为的高可信恶意IP |
| 223.72.65.21 | 存在攻击行为的高可信恶意IP |
| 139.170.193.163 | 存在攻击行为的高可信恶意IP |
| 114.229.211.105 | 存在攻击行为的高可信恶意IP |
| 49.68.102.133 | 存在攻击行为的高可信恶意IP |
| 42.85.165.247 | 存在攻击行为的高可信恶意IP |
| 116.208.204.6 | 存在攻击行为的高可信恶意IP |
| 183.152.70.174 | 存在攻击行为的高可信恶意IP |
| 119.91.141.104 | 存在攻击行为的高可信恶意IP |
| 14.126.112.19 | 存在攻击行为的高可信恶意IP |
| 221.234.104.157 | 存在攻击行为的高可信恶意IP |
| 183.51.94.43 | 存在攻击行为的高可信恶意IP |
| 122.143.204.176 | 存在攻击行为的高可信恶意IP |
| 1.80.228.62 | 存在攻击行为的高可信恶意IP |
| 123.146.68.33 | 存在攻击行为的高可信恶意IP |
| 175.147.106.144 | 存在攻击行为的高可信恶意IP |
| 175.184.191.86 | 存在攻击行为的高可信恶意IP |
| 27.29.147.169 | 存在攻击行为的高可信恶意IP |
| 114.238.138.80 | 存在攻击行为的高可信恶意IP |
| 111.172.11.113 | 存在攻击行为的高可信恶意IP |
| 14.126.115.207 | 存在攻击行为的高可信恶意IP |
| 49.84.102.243 | 存在攻击行为的高可信恶意IP |
| 47.108.119.7 | 存在攻击行为的高可信恶意IP |
| 47.94.212.24 | 存在攻击行为的高可信恶意IP |
通用处置建议:如发现以上IP访问,建议加强关注或采取封禁措施。
样本情报
如内部发现以下恶意样本,建议加强关注并及时排查。
警惕不明来源文件,不随意点击任何可疑链接和文件,如需打开,建议先使用微步云沙箱(https://s.threatbook.com/)进行分析检测。
| 样本SHA256 | 文件名 |
| 0c5838a76525b20676ea4e61db709f735a0bbfd270d2b5c2880c31f52d2e356b | Fw-关于珠海xx航空技术有限公司招标不公问题反馈.zip |
| 8a5c754a83678db70bc4e15daaf8eab7adbc6161df4502f886337f47886fd8c0 | 费用明细.zip |
| 0b57697fc3d5925cc943b58c20cb6c34439954e1e149b4a98566f2716b9232e1 | 蔚X岗位管理系统.exe |
| 677dfce920bc092a7a14b4c91a53671f185f6d06113cbe7724c7b86a8016ad67 | 关于优化财务报账资料的通知.exe |
| dd7080240d3ac4bb1445c5848d9d7db48e93abbb397660fdb46191beebb52f36 | xx南部航空食品采购有限公司_实体店咖啡机租赁项目文件.exe |
| ad387981bb26d4b2acd385c8e787926616be3f81e1c3805bc59a835916bce10c | xx高科应聘登记表(李某某).exe |
| 783c9a757f3d8fa6d6f901e5734d986d9e8bb524dd0e0641097afcbaaeb680c5 | 2022年北京退休职工住院保障计划.exe |
| 3651a2a187438a284ed0ef736f55d7212e4f307daaa0ce58bd0a65afd8556e72 | 个人资料(身份证等).exe |
| c1f1af3557f468a8f3c9113500ee4df89825b606385d7156d1c3302f260c3649 | 李某+xx理工大学+采矿工程技术专业求职.exe |
| 64fe2a7b5a61948d8aff2974b980c03da1cfae8c649e5623d334b7293eeb3809 | 考勤异常列表.exe |
| ad387981bb26d4b2acd385c8e787926616be3f81e1c3805bc59a835916bce10c | 款项明细文档_v1.0.exe |
| d800f5ceed49674a5061b80d0c55b94f98ea9ca6d555ce4ed5834136c64eec1d | 徐某某简历.rar |
| e790c30caa24b8c94dc66009fb045169caa230ff83e290395ecdfc46f450caac | 2022hw丢分详情表.exe |
| 50d8312b7bc830bf179048ced17801ec14eafd417562d08c220a260c4c14f0b4 | 总部处事负责人申请表.exe |
应急要闻
最近红队的兄弟们动作太迅猛,攻防演练的号角才刚吹响,微步TDP(威胁感知平台)就监测到内网两台主机1x.x.x.20和1x.x.x.60对内网其他主机发起大量扫描行为。上报客户,确认资产归属为二级单位资产,遂联系相关责任人进行应急处理。跟客户沟通得知:两台机器分别为某远和某友系统。好家伙,攻防演练期间最常“被抬棺”的系统都不下线,真是头铁。
完整应急响应过程需查看“没有日志?险些翻车!看我用逆向思维排查入侵过程”。
微步情报局
微步情报局,即微步在线研究响应中心,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web
攻击技术、溯源技术、大数据、AI
等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级
URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级
APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry
勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox
定向攻击全国上百家手机行业相关企业的事件。
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247495369&idx=1&sn=b2c7d49bcbf8c7d30b2d0fab96ace454&chksm=cfca8dddf8bd04cb93bf156573ec770d5959b75f83410350f8c4cf62579a826bfb73a5ea4c49#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh