govcert-ch/CTI

GitHub: govcert-ch/CTI

瑞士 GovCERT 发布的公开网络威胁情报仓库,提供 DDoS 攻击源 IP 列表、恶意软件 IoC 及技术分析报告,供安全团队用于威胁检测与防护。

Stars: 57 | Forks: 1

![](https://raw.githubusercontent.com/govcert-ch/CTI/main/images/swiss-cybercow.png) # GovCERT.ch 网络威胁情报 在此目录中,我们发布技术网络威胁情报,并根据 TLP:CLEAR 协议按原样提供。 ## 📗 目录 * [NoName057-DDoS-CH-CIDRs-only-merged.txt](NoName057-DDoS-CH-CIDRs-only-merged.txt):这是 [20250120_NoName057-DDoS-CH_CIDR-only.csv](20250120_NoName057-DDoS-CH_CIDR-only.csv) 和 NoName057(16) 近期在 L7 DDoS 攻击中使用的 IPv4 CIDR 合并后的 CSV 文件。如果您希望随时了解 NoName057 使用的 IPv4 CIDR,请使用此 CSV 文件。我们会尽可能持续更新它。 * [OffensiveCIDRs/Bruteforce.csv](OffensiveCIDRs/Bruteforce.csv):包含针对 O365 和边缘设备(如 SSL-VPN)进行暴力破解攻击的主要 CIDR(/24)。您不应期望这些源向任何内部资源发送合法流量。 * [OffensiveCIDRs/Bruteforce_CIDR-only](OffensiveCIDRs/Bruteforce_CIDR-only.csv):此列表包含与 [OffensiveCIDRs/Bruteforce.csv](OffensiveCIDRs/Bruteforce.csv) 相同的数据,但仅包含 CIDR(不包含 ASN 或地理位置等附加信息)。您可能希望以自动化的方式使用此列表,来缓解针对 O365 和边缘设备(如 SSL-VPN)的暴力破解攻击。 * [20250120_NoName057-DDoS-CH_CIDR-with-info.csv](20250120_NoName057-DDoS-CH_CIDR-with-info.csv):包含在 2025-01-20(第 4 周)这一周内参与针对瑞士目标的 DDoS 攻击的主要 CIDR(/24)。这些攻击据称由黑客行动主义组织 NoName057(16) 发起,使用了 L7 攻击(HTTP/s GET flood)。GovCERT.ch 已联系相关网络所有者(AS)的滥用处理部门,并要求他们采取适当措施,防止其服务被进一步滥用。 * [20250120_NoName057-DDoS-CH_CIDR-only.csv](20250120_NoName057-DDoS-CH_CIDR-only.csv):此列表包含与 [20250120_NoName057-DDoS-CH_CIDR-with-info.csv](20250120_NoName057-DDoS-CH_CIDR-with-info.csv) 相同的数据,但仅包含 CIDR(不包含 ASN 或地理位置等附加信息)。您可能希望以自动化的方式使用此列表,来临时封禁和缓解 NoName057(16) 的 L7 DDoS 攻击。请注意,封禁 CIDR 可能会导致误报。因此,我们建议您仅在受到攻击时将其作为临时措施进行封禁。 * [20241010_GorillaBot](20241010_GorillaBot):包含对 GorillaBot DDoS 即服务恶意软件及基础设施进行分析后得出的报告和 IoC。 * [20240627_macOS_PoseidonStealer](20240627_macOS_PoseidonStealer):包含有关针对瑞士 macOS 用户的 Poseidon Stealer 恶意软件垃圾邮件活动及相关 MISP Event 的信息。 * [20240615_NoName057-attacking-ips.csv](20240615_NoName057-attacking-ips.csv):包含据称在 2024-06-14 和 2024-06-15 参与针对瑞士目标 DDoS 攻击的 IPv4 地址。这些攻击由黑客行动主义组织 NoName057(16) 发起,使用了 L7 攻击(HTTP/s GET flood)。大多数 IP 地址属于被 NoName057(16) 盗用发起 DDoS 攻击的 VPN 服务提供商。 * [20240615_NoName057-controller-ips.csv](20240615_NoName057-controller-ips.csv):包含据称在 2024 年 6 月被 NoName057(16) 用于命令和控制其名为“DDoSia”的 DDoS 工具的 IPv4 地址。 * [20240117_NoName057-DDoS-CH.csv](20240117_NoName057-DDoS-CH.csv):包含在 2024-01-17 参与针对瑞士目标 DDoS 攻击的 IPv4 地址。这些攻击据称由黑客行动主义组织 NoName057(16) 发起,使用了 L7 攻击(HTTP/s GET flood)。GovCERT.ch 已联系相关网络所有者(AS)的滥用处理部门,并要求他们采取适当措施,防止其服务被进一步滥用。 免责声明: * 此处发布的数据“按原样”提供,不附带任何保证或责任 * 已发布 IP 地址的 AS 编号、AS 名称和国家/地区代码由 Team Cymru 的 [IP 到 ASN 映射服务](https://www.team-cymru.com/ip-asn-mapping) 提供
标签:Burp项目解析, DDoS防护, 威胁情报, 安全防护, 开发者工具, 情报共享, 网络安全, 逆向工具, 配置错误, 隐私保护, 黑名单