Чёрный список ресурсов интернета согласно ФСТЭК

..

В связи с последними событиями и санкциями много хакерских группировок нацелены на российские организации и пользователей в интернете. Федеральной службой по техническому и экспортному контролю (ФСТЭК) ведётся и обновляется список вредоносных и опасных сетевых адресов (IP) и сайтов, доступ к которым нужно ограничить.

Что такое ФСТЭК? Это федеральная служба по техническому и экспортному контролю. Это федеральный орган/служба исполнительной власти, которая помимо всего прочего занимается безопасностью в интернете.

"Основные задачи:

— реализация государственной политики;
— организация межведомственной координации и взаимодействия;
— специальные и контрольные функции в области государственной безопасности, в том числе по вопросам осуществления экспортного контроля."

Официальный сайт ФСТЭК России

ФСТЭК периодически обновляет и публикует рекомендации по безопасности в сети интернет и информацию о таких ресурсах в сети, доступ к которым небезопасен. На основе этого я создал чёрный список таких ресурсов в интернете, доступ к которым настоятельно рекомендуется перекрыть, тем более с сложившейся ситуации в условиях санкций и пр.

По ходу публикации вначале напишу про модели угроз, согласно рекомендациям ФСТЭК, далее приведу составленный чёрный список и пример добавления его на роутеры Sagemcom от Ростелекома и Keenetic от Zyxel.

МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ

Согласно ФСТЭК и в принципе есть две основные угрозы про которые нужно знать:

1. Фишинг. Принцип его заключается в том что вместо настоящего сайта пользователь переходит на поддельный сайт, который принадлежит злоумышленникам. Далее пользователь вводит там логин и пароль и даже код из смс-сообщений, так что злоумышленники могут легко получить доступ к личному кабинету пользователя, например от Госуслуг.

Приведу пример. На почту приходит письмо что на госуслугах в личном кабинете нужно подтвердить ваш номер телефона и тут же якобы для удобства в письме есть ссылка на сайт госуслуг. Но это ссылка не на госуслуги, а на сайт злоумышленников, который замаскирован под сайт госуслуг. Жертва переходит на этот поддельный сайт злоумышленников и вводит там логин и пароль. В этот же момент злоумышленники вводят логин и пароль от личного кабинета на настоящем сайте госуслуг и осталось им ввести только код из смс. Жертве приходит на телефон смс с кодом с настоящего сайта. Он вводит его на поддельном, а этот код видят злоумышленники и вводят его на настоящем сайте и входят в личный кабинет.

2. Вредоносная рассылка по электронной почте. Принцип такой вредоносной рассылки заключается в том что под видом деловой почты во вложениях в письмах содержатся не документы, а их иммитация. На самом деле под видом текстовых документов и таблиц во вложении содержатся исполняемые файлы, с расширениями ".exe" и ".bat". После запуска таких файлов действительно открываются электронные документы, но и в фоновом режиме запускается вредоносное программное обеспечение, которое позволяет удалённо управлять вашим компьютером (ПК) или воруют все ваши сохранённые пароли в браузере.

Итак, мы видим что в основном угрозы взлома и потери данных в последнее время идут через электронную почту. Как обезопаситься? Если открыть письмо, то ничего не будет, а вот со вложениями нужно быть осторожным. Внимательно проверяем названия вложенных файлов во входящих письмах. Например, если во вложении есть файл с названием "dogovor_postavka.pdf.exe" или "dogovor_postavka.pdf.bat", то открывать его НЕЛЬЗЯ. Жирным специально я выделил расширение (в письме оно выделено не будет). Это примеры не pdf-документов, а исполняемых файлов.

Плюс НЕЛЬЗЯ переходить на официальные сайты госуслуг, банков и т.п. по ссылкам во входящих письмах на электронной почте. Переходим в поисковик яндекс ("https://dzen.ru/?yredirect=true") и там набираем наименование службы или банка, который нам нужен.

ЧЁРНЫЙ СПИСОК РЕСУРСОВ

Актуальный чёрный список и установка его на роутере или в настройки антивируса позволит избежать перехода на фишинговые сайты, избежать удалённого управления вредоносным ПО вашим компьютером (ПК) и воспрепятствует утечке ваших паролей из браузера и других данных.

Ниже приведу актуальный чёрный список согласно рекомендациям по сетевой безопасности ФСТЭК на начало октября 2024г. В нём свыше 400 вредоносных и опасных как сетевых адресов (IP) так и имён сайтов.

opk-pure.com

strafiki.ru

clodmail.ru

seemsurprise.com

moscowguarante.com

linux-tech-world.net

linux-techworld.com

getvalerianllc.com

bitsbfree.com

licensecheckout.net

win32soft.com

microsoftsupertech.com

microsofttechinfo.com

autotimesvc.com

msk-gov.com

samssmgr.com

versusmain.com

savebrowsing.net

statusgeotrust.com

contileservices.net

tapiservicemgr.com

microsoftdownloaderonline.com

microsoftdownloadonline.com

microsoftdownloader.com

cortanaupdater.net

cortanaupdater.com

sensauto.info

softdownloaderonline.net

softdownloaderonline.com

uploadingonline.com

uploadeonline.com

uploaderonline.com

webupdateronline.net

webupdateronline.com

winuptodate.com

winupdateonline.com

winupdateronline.com

webengincs.com

exactsynchtime.ru

licensecheckout.com

servicehost-update.net

passportyandex.net

www.yahoo.com

188.127.227.201

91.219.151.47

193.124.33.125

saitraif.ru/panel/uploads

saitraif.ru/panel/uploads/Eflvo.mp3

saitraif.ru/panel/uploads/Obrstdslj.vdf

saitraif.ru/panel/uploads/Wgnvsucf.mp4

vip22gr.ru/framework/

fb0bf2b1.shop

2a0cfd0c.shop

fb0bf2b1.shop/index.php

2a0cfd0c.shop/XfVMlmOWOiR4NNMRT18TGm28mhCsHH/index.php

45.12.67.18

77.223.109.162

77.223.109.163

77.223.109.164

77.223.109.165

193.47.34.229

iplis.ru/laydowngrenade.jpeg

vlasta-s.ru/logista.hta

poopy.aarkhipov.ru

avptp.com

wsdjcvfv.com

0bitcoins.com

oneboxlive.com

backconnect.org

netstaticpoints.com

techcname.com

get.upd-rkn.net

mtp.upd-rkn.net

rls.upd-rkn.net

bot.upd-rkn.net

pkg.collect.net.in

lib.rpm-bin.link

chifa.rpm-bin.link

eu-debian.com

stoloto.ai

detectis.ru

hostingforme.nl

hostingforme.nl/down

rampage.myvnc.com

rampage.myvnc.com:7997

a0998768.xsph.ru

a0998768.xsph.ru/

a0998768.xsph.ru/L1nc0In.php

parts.uaz.ru/bitrix/tools

parts.uaz.ru/upload

91.92.248.132

neborecords.ru

neborecords.ru/upload

bitbucket.org

bitbucket.org/aliwudasdfasd

45.137.20.39

45.37.20.39/res.js

45.11.24.211

193.124.92.156

194.165.16.68

141.98.81.23

179.60.150.123

141.98.9.152

92.51.2.78

179.60.147.74

45.182.189.109

mainnode.beonlineboo.com

node.beonlineboo.com

updatebrower.com

updatebrower.com/download

boolka.tk

beef.beonlineboo.com

boolka24.tk

boolka24.tk/js

193.124.33.71

193.124.33.71:3217

1stcloth.ru

lstcloth.ru

huggingface.co

vashi-fayly.com

79.132.128.47

94.156.8.166

document-cdn.org

94.156.8.211

188.127.237.46

185.80.91.107

45.87.246.169

about-auto.ru

finansistinfo.ru

linualsut.ru

18.127.227.201

detectis.ru/down

hostingforme.nl/down/pas.rar

hostingforme.nl/down/MPK.rar

hostingforme.nl/down/keys.rar

87.242.107.147

87.242.107.147/OneDriveUpdater.exe

213.87.14.102

79.120.62.218

79.111.233.34

176.192.49.226

89.22.156.31

46.160.189.123

46.160.189.124

206.119.171.140

179.60.149.42

194.190.152.129

79.120.38.38

176.192.114.82

178.173.26.69

135.125.107.221

75.119.130.76

localzilla.fun

104.255.66.139

79.111.117.174

176.192.57.122

195.158.232.2

178.22.51.74

178.213.207.91

158.160.5.218

108.181.165.94

179.60.149.78

176.120.67.40

188.35.20.137

176.107.13.143

192.145.44.201

213.171.212.212

urler.site

sensor.fun

github.com/alinaegorovaMygit

github.com

cloud-api.yandex.net/v1/disk/resources/download

cloud-api.yandex.net/v1/disk/resources/upload

graph.microsoft.com/v1.0/me/drive/root:/Mg/%s/%s:/content

content.dropboxapi.com2/files/download

content.dropboxapi.com2/files/upload

574056cm.nyashka.top

574056cm.nyashka.top/ExternalCpuDefaultdb.php

01yakutsk.ru

modultaip.ru

89.110.82.139

modultaip.ru/panel/uploads/Qtmdzseibjc.mp4

modultaip.ru/panel/uploads/lutrjbfdy.wav

74.119.195.176

91.222.173.204

91.92.255.100

rampage.myvne.com

launchprom.ru

updateapi.ru

airgrupdate.ru

updourlan.ru

rawgithubcontent.ru

supportsecurity.ru

olhostingupd.ru

mastersync.ru

wheelprom.ru

sauselid.ru

syncpulse.ru

ugroteches.ru

sdufho.ru

officesync.ru

update54.ru

kutruolu.ru

archivubuntu.ru

updatecanonical.ru

austermis.ru

updatesioaa.ru

login-verify.support

lanodesrl.ru

updatens.ru

cabinet-company.info

jaudyoyh.ru

supportsecure.ru

cabinet-yandex.info

updateosd.ru

api.wilbderreis.ru

dev.sauselid.ru

api.yandex-disk.info

45.156.21.178

94.131.113.80

94.131.113.79

e-trueconf.ru

e-trueconf.ru/c/782687231.html

cr87986.tw1.ru

pastebin.com/raw/Kr9pnZ3Y

detectis.ru/down/driver.exe

astita.ru

80.85.155.64

astita.ru:443

rnill.info

185.112.101.40

178.255.222.165

2a0cfd0c.shop/index.php

89.114.69.65

89.114.69.48

82.221.129.24

185.56.136.50

159.100.6.5

prorej.org

nashtab.org

obshchiye-resursy.com

sbordokumentov.com

prote.org

prote.org/zpwidnydav/?e&n=bVq7NwlXhjYOMT

prote.org/zpwidnydav/?n=wHFblDNW9YutX

nashtab.org/biyasqbuk4/?e&n=GuVZoipdl2Ulxk

nashtab.org/pqwebyug3/?n=PDVXCGFwWnCaNv

obshchiye-resursy.com/zpwidnydav/?e&n=VlZ82iODc5twdu

obshchiye-resursy.com/zpwidnydav/?n=Jo9EDoZiYATO77

sbordokumentov.com/snirboubd/?n=vAR1Xp9BG2nStq

sbordokumentov.com/snirboubd/?n=ygTQMPQdz1cZ9E

onesoftware.info/?traumhaeuser/galloped

onesoftware.info

51.255.61.92

sevgas.ru

strepsils.top

strepsils.top/VideoVm_requestMultiTestLocal.php

104.155.138.21

disk-yanbex.ru

5.252.176.55

5.252.176.55:80/api/texts

hxxp://5.252.176.55:80/api/texts

svsuplight.ru

kb6ns.ru

194.113.106.179

hxxp://kb6ns.ru

bbuseruploads.s3.amazonaws.com

updatingservices.net

eadzagbal.duckdns.org

198.46.178.133

geoplugin.net

geoplugin.net/json.gp

05f9bc37.space

725b1784.shop

dc042185.shop

73c9efbb.fun

560eec58.space

ea3aeeec.shop

efb39ac.space

1b4401fb.shop

c9bf45e4.shop

8ade4892.space

3365815f.shop

8ade4892.shop

b5740f16.shop

346af97f.space

b697a8b2.space

f5c5f942.space

dff73748.space

346af97f.shop

05f9bc37.shop

73c9efbb.shop

73c9efbb.space

682ad9af.shop

682ad9af.space

f5c5f942.shop

3365815f.space

eaa980e2.shop

fb0bf2b1.fun

3365815f.fun

efb39ac1.space

985eae2a.shop

985eae2a.space

fb0bf2b1.space

560eec58.shop

b5740f16.space

dc042185.space

c9bf45e4.space

725b1784.space

efb39ac1.shop

1b4401fb.space

dff73748.shop

ea3aeeec.space

b697a8b2.shop

eaa980e2.space

batesta.ge

104.21.22.240

185.229.111.211

103.114.217.250

gitak.top

urlty.co

192.3.176.138

185.130.251.55

185.130.251.55/command

185.130.251.55/init

185.130.251.55/check

185.130.251.55/connect

45.143.166.100

85.192.60.88

y.nsitelecom.ru/certcenter

document.info-cloud.ru/data

ui.telecomz.ru/data

91.215.85.142

whyers.io

ranujos.oline

victory-2024.mywebcommunity.org

wimcwpo.online

gjdow.atwebpages.com

molklib.online

h378576.atwebpages.com

duplikyservjc.cloud

thictu.sportsontheweb.net

glonalcnielmxc.mywebcommunity.org

ru7592.cl.biz

kal74f.scienceontheweb.net

word2022.cl.biz

216.107.137.73

3756298.cl.biz

54.86.50.139

968796.cl.biz

192.186.3.160

ggl593.cl.biz

159.100.13.216

837593.cl.biz

34.198.205.50

4895750.cl.biz

79.133.56.173

victory-2020.atwebpages.com

67.211.213.224

216.83.40.84

185.132.125.72

timmy02.duckdns.org

rentry.co

185.80.91.84

89.110.100.37

hithub.com

control-issue.net

keymerkert.com

wmpssvc.online

192.190.152.246

194.87.252.46

45.144.30.77

sportsboulevard.shop.com

194.190.152.246

21.08.2024.pdf

193.233.48.46

185.172.128.95

cbmelipilla.cl

h.com

fullgasesspa.cl

hostalaskaoatagonia.com

kogama.rest

houzz.rest

playback.savefrom.biz

download.sendspace.biz

194.58.100.211

download.source-forge.name

cams.web-filecab.info

cache-datamart-windows.com

check-mate7.com

new-pikabu-story.com

game.sport-box.org

gazprombank.com.ru

cbr.com.ru

google997.com

autopiter.biz

google9971.com

microsoft7751.com

compatexchange-cloudapp.net

mp3.ucrazy.org

uchet.grandars.info

ndfl.pravcons.biz

rss.sport-express.biz

forum.ru-tracker.net

microsoft775.com

icq.chatovod.info

yaf.buhgalter911.biz

forum.zaycev.biz

res.buhgalter911.info

football.championat.biz

tvit.live-journal.info

rs-term.org

66.150.198.142

193.3.23.121

45.129.2.242

46.29.162.93

45.131.46.228

45.140.19.100

inforussia.org

support.petition-change.org

yandex-drive.petition-change.org

yadi.sk

updatedownloader.com

62.197.48.140

5.42.73.251

techitzone.ru

213.183.54.123

about-tech.ru

orkprank.ru

borosan.ru

mysafer.ru

rtxcore.ru

min-trud-gov.ru

Как видим, что есть много сайтов с виду с безобидными названиями, например, "geoplugin.net", или с названиями якобы государственных служб, например, "min-trud-gov.ru", для того чтобы замаскироваться под них.

..

ДОБАВЛЕНИЕ ЧЁРНОГО СПИСКА НА РОУТЕР "SAGEMCOM"

В основном у народа домашний интернет (да и рабочий) зачастую от Ростелекома и их роутеры Sagemcom широко распространены. Вот и будем их настраивать.

Роутер Ростелеком Sagemcom

Итак, в этом разделе будет пример как добавить вредоносные ресурсы из чёрного списка в бан на роутере от Ростелекома, модель F@st 2804. С главной страницы веб-интерфейса роутера переходим в меню "Межсетевой экран".

К сожалению автоматически загрузить на этот роутер чёрный список возможности нет. Также имена сайтов и url-адреса нужно загружать на вкладке "Фильтр URL", а сетевые адреса (IP) на вкладке "Фильтр IP/Port".

На вкладке "Фильтр URL" в поле "Ключевое слово" вписываем название сайта или url-ресурса и нажимаем "Добавить ключевое слово".

Для добавления в бан сетевого адреса (IP) переходим на вкладку "Фильтр IP/Port". В поле "IP-адрес получателя" вписываем ip-адрес из чёрного списка (в чёрном списке, который я указал выше, адреса состоят из цифр с точками между ними), остальные параметры как на изображении ниже..

..и нажимаем применить.

Вообще свыше 400 адресов, сайтов и url-ресурсов добавить в бан таким образом будет муторно и слишком долго, поэтому если есть другая возможность ограничить доступ к ним, то лучше воспользоваться ей. Например, добавить чёрный список в настройках антивируса. Хотя на роутере это будет сделать предпочтительнее, для того чтобы обезопасить всю домашнюю сеть или сеть предприятия, организации. Поэтому, на мой взгляд, есть смысл поискать роутер, у которого более развиты фильтры сетевых адресов, сайтов и url-адресов, чтобы их загнать туда пачкой.

ДОБАВЛЕНИЕ ЧЁРНОГО СПИСКА НА РОУТЕР "KEENETIC"

Также, попробуем добавить чёрный список на роутер Keenetic.

Роутер Zyxel Keenetic

К сожалению на этом роутере можно добавить только ip-адреса: Сетевые правила -> Межсетевой экран -> Добавить и указываем ip-адрес и остальные параметры запрета как я сделал на скриншоте ниже.

К сожалению правила запрета на роутерах не всегда срабатывают. Может это мне так повезло с ними, я не знаю..

ДОБАВЛЕНИЕ ЧЁРНОГО В DR. WEB SECURITY SPACE

..зато в антивирусе Dr. Web Security Space правила чёрного списка отлично работают, срабатывает запрет на доступ как к сетевым адресам так и к именованным сайтам или url-ресурсам.

Открываем Dr. Web и переходим в раздел "Родительский контроль".

Выбираем учётную запись операционной системы, обычно одна будет одна.

На вкладке "Интернет" в разделе "Белый и чёрный списке" переходим по ссылке "Изменить".

В чёрном списке в поле ввода набираем или вставляем копированием сетевой ip-адрес или название сайта и кнопкой "+" добавляем ресурс в чёрный список.

Также у Dr. Web Security Space есть возможность загрузить чёрный список в одно действие из csv-файла.

У этой публикации есть дополнения Чёрный список ресурсов интернета согласно ФСТЭК. Доп. № 1 и Чёрный список ресурсов интернета согласно ФСТЭК. Доп. № 2