天融信阿尔法实验室 » 恶意地址跟踪

2014年第22周恶意地址跟踪情况小结

漏洞应急响应中心 — Thu, 05 Jun 2014 07:04:14 +0000

本统计期最显著的特点是恶意地址数量出现一次非常剧烈的上升。全部有效地址数量是2379个，其中海外有效地址数量是1506个，大陆有效地址数量是837个，全部有效地址较上周相比上升64%；这显示着遏制恶意地址的工作是复杂的、曲折的，难以一蹴而就，需要有打持久战的思想准备。参见下图：对恶意地址走势的分析，个人认为还是会向下走，继续震荡。

2014年第21周恶意地址跟踪情况小结

漏洞应急响应中心 — Mon, 02 Jun 2014 03:45:27 +0000

本期最显著的特点是恶意地址数量的继续呈下降走势。全部有效地址数量是1447个，其中海外有效地址数量是942个，大陆有效地址数量是505个，全部有效地址较上周相比下降17.8%；恶意地址数量的继续呈下降走势。参见下图：以下三个结论依然有效：

CNCERT开展的为期近一个月的专项保障工作效果比较明显；
有关部门对恶意地址的的打击是持续不断的；
但是需要关注恶意地址向海外迁移的速度也在加快。

2014年第20周恶意地址跟踪小结

漏洞应急响应中心 — Thu, 22 May 2014 06:43:18 +0000

本统计期最显著的特点是恶意地址数量持续走低---全部有效地址数量为1761个，其中海外有效地址数量是1135个，大陆有效地址数量是626个，全部有效地址较上周相比下降22%；这个数值已经是2014年最低值了。见下图：

从这个情况来看，可以得出以下结论：

从2014年5月13日到6月10日期间，CNCERT开展的为期近一个月的专项保障工作效果比较明显。跟踪的恶意地址数量已经从每周的2500个左右持续下跌到2000个以下；
这预示着当今对恶意地址的态度从以前那样运动式的一窝蜂到现在进行的持续不断地打击。从3月两会期间到现在，这种打击活动一直处于高压态势，位于大陆的恶[......]

从恶意地址数量的变化情况来判断“净网”行动的效果

漏洞应急响应中心 — Thu, 15 May 2014 04:51:50 +0000

1 恶意域名及对应恶意IP地址简单介绍

什么是恶意地址？一句话，就是地下网络经济的核心IP地址，对应的是地下经济集团的核心服务器，其中包括各种病毒下载器，盗号工具等恶意代码,也就是传播网络病毒的最终的“放马”站点，同时也包括各类钓鱼网站、黄色网站、赌博网站、DDOS控制端、垃圾邮件服务器等。在互连网上这些恶意地址对应的是地下网络经济的恶意域名或恶意域名组，指在一个挂马网页上出现的多个恶意代码下载链接所对应的所有域名；为了躲避安全设备的url 过滤，地下经济集团会利用一个或几个IP地址来注册有规律变化的域名组；根据我对这些恶意域名对应的有效恶意地址的变化的长期跟踪和研究，发现以[......]

天融信公司2013年关于恶意域名和对应地址跟踪情况报告

漏洞应急响应中心 — Wed, 16 Apr 2014 16:59:44 +0000

1 基本情况 根据天融信公司对anva提供的近三万个恶意域名持续的跟踪和检测，在2013年依旧保活的恶意域名地址对数量是12696个。这些恶意域名地址对去重后的域名数量是5387个，而去重的IP地址数量是4394个。可以看出这些域名或地址都是多对多的关系，即会出现一个IP地址对应多个域名，或一个域名对应多个不同的IP地址的情况。对于这些IP地址，我们发现出现了127.0.0.1、0.0.0.0、255.255.255.255、243.185.187.39等特殊地址，这是欲解析的域名已经被域名管理机构识别为恶意而输出的特殊地址。除了这些特殊地址之外，其他地址分别属于大陆或海[......]