近日,江民病毒监测中心再次拦截了“驱动人生”最新变种,新的变种更新了C2域名,更换计划任务后门,感染成功之后会将用户的信息(IP、域、用户名和密码hash)上传到新的恶意服务器(http[:]//log.bddp.net/logging.php)中实现信息收集的功能。
早在2018年11月12日,江民反病毒监测中心发现,有黑客使用国外IP代理入侵驱动人生内网服务器进行了攻击前准备和测试,在一个月的准备期后,2018年12月14日,驱动人生木马正式爆发、扩散,短短数小时,近10万用户受到攻击。
至今仅过去了6个月,江民病毒监测中心已多次发现并拦截了驱动人生木马的新变种。该病毒始终抱着锲而不舍的精神,开启了升级之路,截止目前,已经更新了十余个版本,屡次被成功拦截查*,可谓越挫越勇。
恶意代码攻击方式a) 永恒之蓝漏洞攻击
b) Pass The Hash攻击
c) SMB和MSSQL弱口令爆破
d) powershell后门
e) 计划任务
f) 注册服务
g) 启动目录
升级后的驱动人生木马,攻击手段更加多样化,隐蔽性更好,增强了驻留能力,传播能力更强,更具有目的性,危害也更大。
a)传播方式:
1)、通过445端口利用永恒之蓝漏洞进行传播;
2)、通过445端口利用PassTheHash攻击方式进行传播;
3)、利用MSSQL弱口令爆破通过1433端口进行攻击;
4)、利用Powershell后门、hta脚本和bat脚本通过80端口下载传播。
b)样本危害:
1)、受感染的主机会进行挖矿操作,严重影响主机性能;
2)、受感染的主机会植入后门,攻击者可在后续攻击中随时调整攻击策略,极端情况下可能下发勒索软件造成大面积破坏;
3)、受感染的主机会上传主机的基本信息,攻击者可以用于收集大面积情报信息;
3)、受感染的主机形成了一个僵尸网络,攻击者可以利用进行DDoS攻击或者用于其他恶意样本的传播和分发。
措施及建议1). 已感染病毒的主机尽快安装防病毒软件并更新至最新病毒库进行扫描*毒;
2). 内网主机需要打上MS17-010漏洞补丁防止永恒之蓝漏洞的攻击;
3). 驱动人生挖矿病毒的驻留和传播极度依赖powershell.exe和certutil.exe,因此强烈建议不常使用这两个程序的用户使用组策略禁用这两个程序的执行;
4). 加强内网中MSSQL账户的密码强度,防止被弱口令爆破攻击;
5). 加强内网SMB共享账户密码强度并且尽可能不要使用同一个账号和密码,防止被PassTheHash的攻击方式攻破;
复制链接获取详细分析报告:https://0x9.me/Mv0pX
