2025年Q2十大恶意软件深度解析
互联网安全中心(CIS)网络威胁情报(CTI)团队近日发布了《2025年第二季度十大恶意软件》报告,该报告不仅列出了该季度中最活跃的恶意软件家族,还披露了与之对应的妥协指标(Indicators of Compromise, IoCs)。
报告共识别出涉及其中九种恶意软件的62个IoC,其中包括53个域名和9个IP地址。具体分布如下:
注意,Mirai 并未被识别出任何作为 IoC的域名或IP地址。
我们通过扩展 IoC 列表,对十大恶意软件的 WHOIS 和 DNS 足迹进行了追踪。深入分析后,发现了数以千计的新数据(artifacts),具体包括:
-
72,921 个与部分域名 IoC 进行通信的唯一客户端 IP
-
7个域名 IoC 在注册时就出现在 First Watch 恶意域名数据源 上
-
34 条与部分 IP IoC 进行通信的疑似受害者 IP 记录
-
23,996 个与邮箱相关的域名,其中 43 个为恶意域名
-
53 个新增 IP 地址,其中 33 个为恶意 IP
-
431 个与 IP 相关联的域名,其中 1 个为恶意域名
-
1,153 个与字符串相关的域名,其中 3 个为恶意域名
如有需要,可通过我们的官网下载获取分析样本。www.whoisxmlapi.com
loC分析
首先我们通过“批量WHOIS API” 查询了标记为这九类恶意软件 IoC 的每一组域名,结果发现,在 53 个被标记为 IoC 的域名中,只有 49 个仍有有效的 WHOIS 记录。这 49 个域名的创建时间跨度为 1996 年 7 月 26 日至 2025 年 7 月 25 日。以下是按创建年份的分布情况:
如上图所示:2025 年注册了 20 个域名;2024 年注册了 7 个;2017 年注册了 4 个;2023 年注册了 3 个;2014 年、2016 年和 2020 年各注册了 2 个;1996 年、2000 年、2001 年、2006 年、2008 年、2011 年、2013 年、2015 年和 2018 年各注册了 1 个。
对这49个被标记为 IoC 的域名注册商进一步分析发现,GoDaddy、Namecheap 和 PDR 位居前列,各占7个域名。Web Commerce Communications 以5个域名位居第二,Hostinger Operations 以4个域名排名第三。NameSilo 以3个域名排名第四。Bluehost、DreamHost 和 Network Solutions 各有2个域名,并列第五。最后,101domain、BeotelNet、Cloudflare、Enom、GMO Internet、Good Domain Registry、Key-Systems、Netregistry Wholesale、Tucows 以及 Vitalwerks Internet Solutions 各有1个域名,构成了完整名单。下图为分解情况。
在对这49个被标记为 IoC 的域名进行更深入分析时,发现其中20个域名没有注册国家记录,其余29个域名分布在9个国家。其中,美国位居首位,占16个域名;德国以4个域名位居第二;冰岛和英国各有2个域名;印度、马来西亚、圣基茨和尼维斯、塞尔维亚、瑞典则各有1个域名。
随后,我们通过“ DNS大事记API”查询了这 53 个被标记为 IoC 的域名,结果发现只有 50 个域名存在历史 DNS 解析记录。具体如下,这50个域名自 2017 年 2 月 5 日 起共产生了 8,472 条域名到 IP 的解析记录。其中,有7个域名共享这一最早的解析日期。在这7个域名中,SocGholish 和 NanoCore 各关联了 2 个域名;而AgentTesla、Arechclient2和 LandUpdate808 则各关联了1个域名。以下是关于其中5个域名的细节信息:
我们还参考了 Internet Abuse Signal Collective (IASC) 上的部分DNS流量数据,对这53个被标记为 IoC 的域名进行了进一步分析。样本数据显示,在2025年6月30日至7月3日期间,共有72,921个唯一客户端 IP 地址,隶属于2,720个唯一ASN,通过 1,048,540 次DNS 请求查询到了6个不同的域名。
最后,我们在“第一视角”上对这53个IoC域名进行了查询,结果发现,其中7个域名在 2025 年7月18日被报告为攻击 IoC 之前31–233天就已出现在不同的数据源中。以下为三个示例。
随后,我们在“批量IP地理定位查询”上搜索了与 NanoCore 和 Arechclient2 相关的 9 个被标记为 IoC 的 IP 地址。查询结果显示,这些 IP 地址分布在4个国家:其中美国位居首位,占 4 个 IP 地址;俄罗斯以 3 个 IP地址排名第二;中国和印度则各有 1 个 IP 地址。
具体分布如下:
通过DNS大事记API查询这9个被标记为 IoC 的 IP地址,结果显示只有7个IP地址存在历史的 IP 到域名解析记录。具体来看,这7个IP地址自2017年2月4日 起,共记录了3,704条解析记录。以下是其中3个IP地址的详细信息:
此外,我们还利用 IASC 的样本 NetFlow 数据,对这9个可能指向攻击指挥与控制(C&C)服务器的IP地址进行了进一步分析。样本数据显示,共有34条疑似受害者 IP 记录 与3个不同ISP(隶属于6个ASN)相关联。其中,IP IoC 23[.]172[.]40[.]89 最为引人注意,它通过 ICMP 协议 与某个潜在受害者 IP 通信 60 次。
IoC 列表扩展分析结果
在挖掘出更多 IoC 相关信息后,我们进一步搜索了更多相关联的数据(artifacts)。首先,通过 WHOIS历史API 查询了 53 个被标记为 IoC 的域名,发现其中只有40个域名的历史 WHOIS 记录中包含邮箱地址。经过整理,我们共收集到129个唯一的邮箱地址。进一步分析发现,其中只有37个邮箱地址可能属于公开邮箱。
反向WHOIS API 查询结果显示,这 37 个公开邮箱地址 中没有一个出现在其他域名的当前 WHOIS 记录中,但有30个邮箱地址出现在历史WHOIS 记录中。在去重并排除已被标记为 IoC 的域名后发现,这 30 个公开邮箱地址与 23,996 个域名存在历史关联。
随后,我们利用 威胁情报API 对这 23,996 个与邮箱相关的域名进行了查询,结果显示,其中有 43 个已被认定为是恶意域名。以下为5个示例:
接下来,我们通过 DNS 查询API 搜索了这 53 个被标记为 IoC 的域名。查询结果显示,在去重并删除已被识别为 IoC 的记录后,其中42 个域名仍在活跃解析,并对应着53个唯一IP地址。
随后,我们利用威胁情报API对这53个新增IP地址进行了查询,结果发现,其中 33 个已被用于各种类型的攻击。以下是 5 个示例:
我们利用批量IP地理定位查询 搜索了这53个新增IP地址,结果发现,其中1个没有地理位置记录,其余52个 IP 地址分布在 9 个国家。
其中,美国占据最多,共有43个IP地址;瑞典有2 个 IP 地址位居第二;最后,德国、印度、俄罗斯、塞尔维亚、瑞士、英国和乌克兰各有 1 个 IP 地址。
进一步查看这些 IP 地址所属的 互联网服务提供商(ISP) 发现,其中 6 个 IP 地址没有 ISP 记录,其余 47 个 IP 地址分布在18家 ISP。
其中,Cloudflare 管理 25 个 IP 地址位居首位,Amazon 管理 3 个 IP 地址位居第二。A2 Hosting、HZ-US 和 Vitalwerks 各管理 2 个 IP 地址。最后,BeotelNet、DigitalOcean、Endurance International Group、Fornex Hosting - Germany、Global Connectivity Solutions、Google Cloud、Hosting.com LON1、JSC Severen-Telecom、LeaseWeb USA、Namecheap、OneProvider、SOFTplus Entwicklungen 和TelNet Worldwide 各管理 1 个 IP 地址。
在对比 IP IoC 与新增 IP 地址的地理位置国家和 ISP 结果时,我们注意到以下相似之处:
-
印度、俄罗斯和美国 —— 作为 IoC 所在的四个国家中的三个,也出现在新增 IP 地址的来源国家列表中。
-
DigitalOcean —— 作为 IoC 的两个 ISP 之一,也出现在新增 IP 地址的管理方列表中。
将 这53 个新增 IP 地址与此前标记为 IoC 的9 个 IP 地址合并后,我们一共得到了62个IP地址。使用反向 IP API 对它们进行查询,结果发现其中 55 个 IP 仍有当前的域名解析记录。总体来看,这些IP地址一共解析了11,499个域名。进一步分析还发现,其中18个IP地址可能使用了专用主机,在去重并排除已被标记为 IoC 的域名以及与邮箱关联的域名后,共托管了 431 个与 IP 相关的域名。
截至目前,在这431个与IP相关的域名中,只有 javascripterhub[.]com已被用于恶意软件传播。
最后,我们对这 53 个被标记为 IoC 的域名 进行了更深入的分析,发现它们都包含一些独特的文本字符串。
然而,根据我们在域名&子域名发现中的检索结果,这些字符串中只有41个出现在其他域名中。这些字符串包括:
● emeraldpinesolutions.
● cpa2go.
● ebuilderssource.
● lanpdt.
● micha.
● roofnrack.
● smthwentwrong.
● stirngo.
● suziestuder.
● symphoniabags.
● lqsword.
● eddereklam.
● islonline.
● jeepcommerce.
● fosna.
● hostsailor.
● myddns.
● sixfiguredigital.
● topendpower.
● bitdefender-download.
● royalbanksecure.
● xmrminingproxy.
● anondns.
● gotdns.
● bienvenido.
● candyxpdf.
● key-systems.
● launchapps.
● ninositsolution.
● bandarsport.
● katuj.
● pages.
● ratatui.
● alhasba.
● edveha.
● jimriehls.
● nypipeline.
● rajjas.
● skatkat.
● swedrent.
● waxworkx.
共有 1,153 个与字符串相关的域名以上述 41 个字符串 开头。我们已在结果中去除了重复项、已被标记为 IoC 的域名,以及与邮箱和 IP 相关的域名。
利用威胁情报 API 对这1,153个字符串相关的域名进行查询后发现,其中3个已被认定为恶意域名。例如,pages[.]hk 就与恶意软件传播有关。
我们对 2025 年第二季度排名前十的恶意软件中九种的 WHOIS 和 DNS 足迹 进行了更深入的分析,发现了 25,633 个关联信息,包括:
-
23,996个与邮箱相关的域名;
-
53个新增IP地址;
-
431个与IP相关的域名;
-
1,153个与字符串相关的域名
截至目前,其中 80 个已被用于各种类型的攻击。
此外,来自IASC的DNS流量样本数据显示,2025年6月30日至7月3日期间,共72,921个唯一客户端IP地址(隶属2,720 个唯一ASN)通过1,048,540次DNS搜索请求查询了6个不同的域名。与此同时,NetFlow 样本数据揭示了34条疑似受害者 IP 记录,这些记录关联到3家ISP,隶属于6个ASN。
扫一扫
8585
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
