2023年10月14日，美国网络安全公司Unit 42（https://unit42.paloaltonetworks.com/）发表了一份关于对全球Linux XorDDoS活动深入分析的事件报告。XorDDoS木马会感染Linux设备并将其转变为僵尸程序，攻击者可以控制这些设备远程执行恶意任务。然后，攻击者操纵受感染的设备来执行分布式拒绝服务 (DDoS) 攻击。我们将报告中公开的IOC信息加载至CNTD网络安全威胁情报共享平台中，发现这些IOC信息存在恶意行为。经CNTD研判，其攻击始于2018年11月中下旬，最近一次攻击发生在今年5月上中旬。具体情况如下：

一、IOC信息

美国网络安全公司Unit 42公开的IOC信息如下：

图1-1 公开的IP信息

图1-1 公开的域名信息

二、攻击的具体情况

经CNTD平台检测发现，有4个IP和33个域名存在恶意行为。具体情况如下：

103.233.83.245（新加坡）

CNTD平台检测出IP“103.233.83.245”存在僵尸网络行为。具体情况如下图所示：

图2-1 CNTD情报记录IP“103.233.83.245”存在僵尸网络行为

183.60.202.2（新加坡）

CNTD平台检测出IP“183.60.202.2”存在僵尸网络、恶意软件等行为。具体情况如下图所示：

图2-2 CNTD情报记录IP“183.60.202.2”存在恶意行为

183.56.173.144（中国深圳）

CNTD平台检测出IP“183.56.173.144”存在僵尸网络和C&C行为。具体情况如下图所示：

图2-3 CNTD情报记录IP“183.56.173.144”存在恶意行为

183.56.173.156（中国深圳）

CNTD平台检测出IP“183.56.173.156”存在僵尸网络和C&C行为。具体情况如下图所示：

图2-4 CNTD情报记录IP“183.56.173.156”存在恶意行为

p.assword.xyz

CNTD平台检测出域名“p.assword.xyz”存在恶意软件行为。具体情况如下图所示：

图2-5 CNTD情报记录域名“p.assword.xyz”存在恶意软件行为

linux.bc5j.com

CNTD平台检测出域名“linux.bc5j.com”存在恶意软件和C&C行为。具体情况如下图所示：

图2-6 CNTD情报记录域名“linux.bc5j.com”存在恶意行为

cdn.netflix2cdn.com

CNTD平台检测出域名“cdn.netflix2cdn.com”存在恶意软件行为。具体情况如下图所示：

图2-7 CNTD情报记录域名“cdn.netflix2cdn.com”存在恶意软件行为

ddd.dddgata789.com

CNTD平台检测出域名“ddd.dddgata789.com”存在恶意软件行为。具体情况如下图所示：

图2-8 CNTD情报记录域名“ddd.dddgata789.com”存在恶意软件行为

p5.dddgata789.com

CNTD平台检测出域名“p5.dddgata789.com”存在恶意软件行为。具体情况如下图所示：

图2-9 CNTD情报记录域名“p5.dddgata789.com”存在恶意软件行为

ww.dnstells.com

CNTD平台检测出域名“ww.dnstells.com”存在恶意软件行为。具体情况如下图所示：

图2-10 CNTD情报记录域名“ww.dnstells.com”存在恶意行为

ndns.dsaj2a.com

CNTD平台检测出域名“ndns.dsaj2a.com”存在恶意软件和C&C行为。具体情况如下图所示：

图2-11 CNTD情报记录域名“ndns.dsaj2a.com”存在恶意行为

ndns.dsaj2a.org

CNTD平台检测出域名“ndns.dsaj2a.org”存在恶意软件和C&C行为。具体情况如下图所示：

图2-12 CNTD情报记录域名“ndns.dsaj2a.org”存在恶意行为

gh.dsaj2a1.org

CNTD平台检测出域名“gh.dsaj2a1.org”存在恶意软件和C&C行为。具体情况如下图所示：

图2-13 CNTD情报记录域名“gh.dsaj2a1.org”存在恶意行为

ndns.dsaj2a1.org

CNTD平台检测出域名“ndns.dsaj2a1.org”存在恶意软件和C&C行为。具体情况如下图所示：

图2-14 CNTD情报记录域名“ndns.dsaj2a1.org”存在恶意行为

cdn.finance1num.com

CNTD平台检测出域名“cdn.finance1num.com”存在恶意软件行为。具体情况如下图所示：

图2-15 CNTD情报记录域名“cdn.finance1num.com”存在恶意软件行为

baidu.gddos.com

CNTD平台检测出域名“baidu.gddos.com”存在恶意行为。具体情况如下图所示：

图2-16 CNTD情报记录域名“baidu.gddos.com”存在恶意行为

soft8.gddos.com

CNTD平台检测出域名“soft8.gddos.com”存在恶意行为。具体情况如下图所示：

图2-17 CNTD情报记录域名“soft8.gddos.com”存在恶意行为

gggatat456.com

CNTD平台检测出域名“gggatat456.com”存在恶意软件、C&C等恶意行为。具体情况如下图所示：

图2-18 CNTD情报记录域名“gggatat456.com”存在恶意行为

aaa.gggatat456.com

CNTD平台检测出域名“aaa.gggatat456.com”存在恶意软件、C&C等恶意行为。具体情况如下图所示：

图2-19 CNTD情报记录域名“aaa.gggatat456.com”存在恶意行为

ppp.gggatat456.com

CNTD平台检测出域名“ppp.gggatat456.com”存在恶意软件、C&C、Xorddos等恶意行为。具体情况如下图所示：

图2-20 CNTD情报记录域名“ppp.gggatat456.com”存在恶意行为

www1.gggatat456.com

CNTD平台检测出域名“www1.gggatat456.com”存在恶意软件、C&C等恶意行为。具体情况如下图所示：

图2-21 CNTD情报记录域名“www1.gggatat456.com”存在恶意行为

ww.gzcfr5axf6.com

CNTD平台记录域名“ww.gzcfr5axf6.com”为恶意域名。具体情况如下图所示：

图2-22 CNTD情报记录域名“ww.gzcfr5axf6.com”为恶意域名

ww.gzcfr5axf7.com

CNTD平台检测出域名“ww.gzcfr5axf7.com”存在恶意软件等行为。具体情况如下图所示：

图2-23 CNTD情报记录域名“ww.gzcfr5axf7.com”存在恶意行为

ndns.hcxiaoao.com

CNTD平台检测出域名“ndns.hcxiaoao.com”存在恶意软件和C&C等恶意行为。具体情况如下图所示：

图2-24 CNTD情报记录域名“ndns.hcxiaoao.com”存在恶意行为

ns1.hostasa.org

CNTD平台检测出域名“ns1.hostasa.org”存在恶意软件行为。具体情况如下图所示：

图2-25 CNTD情报记录域名“ns1.hostasa.org”存在恶意软件行为

ns2.hostasa.org

CNTD平台检测出域名“ns2.hostasa.org”存在恶意软件行为。具体情况如下图所示：

图2-26 CNTD情报记录域名“ns2.hostasa.org”存在恶意软件行为

ns3.hostasa.org

CNTD平台检测出域名“ns3.hostasa.org”存在恶意软件行为。具体情况如下图所示：

图2-27 CNTD情报记录域名“ns3.hostasa.org”存在恶意软件行为

ns4.hostasa.org

CNTD平台检测出域名“ns4.hostasa.org”存在恶意软件行为。具体情况如下图所示：

图2-28 CNTD情报记录域名“ns4.hostasa.org”存在恶意软件行为

linux.jum2.com

CNTD平台检测出域名“linux.jum2.com”存在恶意软件等行为。具体情况如下图所示：

图2-29 CNTD情报记录域名“linux.jum2.com”存在恶意行为

lpjulidny7.com

CNTD平台检测出域名“lpjulidny7.com”存在恶意软件等行为。具体情况如下图所示：

图2-30 CNTD情报记录域名“lpjulidny7.com”存在恶意行为

p5.lpjulidny7.com

CNTD平台检测出域名“p5.lpjulidny7.com”存在恶意软件等行为。具体情况如下图所示：

图2-31 CNTD情报记录域名“p5.lpjulidny7.com”存在恶意行为

ww.myserv012.com

CNTD平台检测出域名“ww.myserv012.com”存在恶意软件等行为。具体情况如下图所示：

图2-32 CNTD情报记录域名“ww.myserv012.com”存在恶意行为

ww.search2c.com

CNTD平台检测出域名“ww.search2c.com”存在恶意软件等行为。具体情况如下图所示：

图2-33 CNTD情报记录域名“ww.search2c.com”存在恶意行为

xxxatat456.com

CNTD平台检测出域名“xxxatat456.com”存在恶意软件、C&C等恶意行为。具体情况如下图所示：

图2-34 CNTD情报记录域名“xxxatat456.com”存在恶意行为

aaa.xxxatat456.com

CNTD平台检测出域名“aaa.xxxatat456.com”存在恶意软件等行为。具体情况如下图所示：

图2-35 CNTD情报记录域名“aaa.xxxatat456.com”存在恶意行为

ppp.xxxatat456.com

CNTD平台检测出域名“ppp.xxxatat456.com”存在恶意软件、C&C等恶意行为。具体情况如下图所示：

图2-36 CNTD情报记录域名“ppp.xxxatat456.com”存在恶意行为

www.xxxatat456.com

CNTD平台检测出域名“www.xxxatat456.com”存在恶意软件等行为。具体情况如下图所示：

图2-37 CNTD情报记录域名“www.xxxatat456.com”存在恶意行为

三、建议

1、更新和维护系统。及时安装操作系统和应用程序的更新补丁，以关闭已知的漏洞，同时确保使用支持的版本，并关闭不必要的服务。

2、启用防火墙和入侵检测系统（IDS/IPS）。配置防火墙以阻止恶意流量，并使用入侵检测系统和入侵预防系统来识别和阻止可能的攻击。

3、强化身份验证和访问控制。实施多因素身份验证，限制特权访问，并仔细审查员工和服务账户的权限，确保遵循最小权限原则。

4、加固端口访问限制。禁用不需要的端口，仅允许那些必要的服务端口对外开放，并设置严格的网络访问控制策略。

5、加强网络安全培训。提供网络安全培训，教育员工识别恶意链接、钓鱼邮件和其他常见的网络攻击手段，并强调保护个人信息的重要性。

6、组织安全审计。定期进行安全审计，包括网络和系统漏洞扫描、安全策略评估和恶意活动监测等，以发现和解决潜在的安全问题。

7、加密数据传输。使用加密协议（如HTTPS）来保护敏感数据的传输，确保数据在传输过程中的安全性。

8、定期备份数据。定期备份重要的数据，并通过离线存储或云备份等方式，确保数据可以及时恢复。