KoolShare

 找回密码
 立即注册
搜索
查看: 3100|回复: 17

“驱动人生”利用高危漏洞传播病毒 半天感染数万台电脑

[复制链接]

243

主题

537

帖子

1245

积分

大魔法师

Rank: 5Rank: 5

精华
0
门户文章
0
魔力币
635
魔法值
0
注册时间
2017-3-2

AC86U

发表于 2018-12-20 09:28:14 | 显示全部楼层 |阅读模式
转自火绒官方   https://www.huorong.cn/info/1544807500177.html



一、概述
12月14日,火绒安全团队发现“驱动人生”旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过“永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。
目前截获的病毒没有携带其他攻击模块,只是“潜伏”。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。

根据火绒安全团队分析发现, “驱动人生”、“人生日历”、“USB宝盒”等软件的用户会感染该病毒。病毒会同时执行两个任务:1、通过“永恒之蓝”漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧,存在大量未修复的漏洞,因此受到的威胁较大;2、下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等信息。
根据“火绒威胁情报系统”监测,该病毒于14日下午14点前后开始传播,之后逐步加大传播速度,被感染电脑数量迅速上升,到晚间病毒服务器关闭,停止传播。火绒工程师推测,病毒团伙可能是在做传播测试,不排除后续进行更大规模的传播。
火绒"企业版"和"个人版"无需升级即可拦截、查杀该病毒。火绒团队建议政府、企业、学校、医院等受此类病毒威胁较大的局域网用户,安装使用"火绒企业版"(可免费使用3个月),可有效防御所有通过“永恒之蓝”等高危漏洞传播的各种病毒。
请广大政企单位用户从火绒官网申请免费使用"火绒企业版",网址:https://www.huorong.cn/essmgr/essreg

二、样本分析
火绒通过火绒终端威胁情报系统检测,自12月14日午时起有病毒正在通过驱动人生的升级推送功能进行大量传播。驱动人生升级推送程序会通过网址链接(hxxp://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe)将病毒样本下载到本地进行执行。驱动人生升级程序下载病毒样本动作,如下图所示:

下载病毒样本

该病毒被下载到本地运行后,会将自身释放到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver。病毒运行进程关系图,如下图所示:

病毒运行进程关系图

该服务运行后,首先会在System32(或SysWOW64)释放svhhost.exe进行执行,该程序我们暂且称之为代理病毒;之后再创建svvhost.exe,该病毒用于通过永恒之蓝漏洞将svhost.exe在网络中进行传播,下文分两个部分对两个不同的病毒模块进行分析。

永恒之蓝漏洞攻击
svvhost.exe运行后会对当前所在网络扫描,使用永恒之蓝漏洞进行攻击。攻击成功后,恶意代码会通过CertUtil从C&C服务器下载病毒到被攻击终端进行执行。漏洞攻击及火绒黑客入侵拦截截图,下图所示:

漏洞攻击及火绒黑客入侵拦截截图

被恶意代码执行的CertUtil下载命令行参数,如下图所示:

CertUtil下载相关命令行参数

恶意代码下载到被攻击终端的病毒文件与svhost相同,下载后文件路径为c:\install.exe,C&C服务器地址为:hxxp://dl.haqo.net。

svhost.exe与代理进程
父进程svhost.exe首先会收集本机信息,之后通过HTTP请求将在本机收集到的数据回传至C&C服务器地址(hxxp://i.haqo.net/i.png)。被回传的数据信息,如下图所示:

收集系统信息

请求链接示例,如下图所示:

请求链接示例

获取本机信息数据,如下图所示:

获取系统信息


获取安全软件运行状态


拼接请求参数

之后svhost.exe会从C&C服务器获取到加密的恶意代码下载链接,被下载的恶意代码执行方式分为两种:在代理进程内存中加载执行和直接下载到本地(svvhost.exe)运行。暂时,被下载执行的恶意代码只有svvhost.exe用来进行永恒之蓝传播(C&C服务器地址:hxxp://dl.haqo.net/eb.exez),内存加载执行相关的功能链接暂时没有被下发,我们初步推测病毒尚处于测试阶段。相关代码,如下图所示:

解密控制命令


根据控制命令执行远程恶意代码


通过FileMapping发送恶意代码

代理进程获取到恶意代码数据后进行执行,如下图所示:

代理进程执行恶意代码

根据火绒终端威胁情报系统,我们发现下发执行病毒文件的升级程序路径多指向驱动人生旗下应用。相关升级程序路径信息,如下图所示:

相关升级程序路径信息

通过同源代码比对,我们发现推送病毒执行的升级模块,与人生日历升级模块代码存在同源性。同源代码,如下图所示:

同源代码

推送病毒执行的升级模块与人生日历升级模块导出函数,如下图所示:

导出函数对比


三、附录
样本SHA256:


1

主题

84

帖子

43

积分

魔法学徒

Rank: 1

精华
0
门户文章
0
魔力币
33
魔法值
0
注册时间
2018-11-28
发表于 2018-12-20 10:23:14 | 显示全部楼层
火绒威武啊,

2

主题

40

帖子

345

积分

中级魔法师

Rank: 3Rank: 3

精华
0
门户文章
0
魔力币
334
魔法值
0
注册时间
2018-3-24
发表于 2018-12-20 11:13:06 | 显示全部楼层
国产软件,呵呵!!!哈哈!!!

2

主题

171

帖子

201

积分

中级魔法师

Rank: 3Rank: 3

精华
0
门户文章
0
魔力币
179
魔法值
0
注册时间
2018-12-5
发表于 2018-12-20 15:13:25 | 显示全部楼层
感觉火绒现在比360软件使用上来说 要有良心的多。。。。

400

主题

4347

帖子

1万

积分

大魔导师

Rank: 9Rank: 9Rank: 9

精华
0
门户文章
1
魔力币
5728
魔法值
10
注册时间
2016-8-25

AC88UR7000R6400

发表于 2018-12-20 15:40:15 | 显示全部楼层
此类公司必须严惩

6

主题

78

帖子

922

积分

高级魔法师

Rank: 4

精华
0
门户文章
0
魔力币
878
魔法值
0
注册时间
2016-12-14
发表于 2018-12-21 07:56:07 | 显示全部楼层
百度去年也干过

1

主题

102

帖子

431

积分

中级魔法师

Rank: 3Rank: 3

精华
0
门户文章
0
魔力币
408
魔法值
0
注册时间
2015-12-22
发表于 2018-12-21 09:52:16 | 显示全部楼层
前不久已经卸载人生日历,垃圾软件!

2

主题

48

帖子

309

积分

中级魔法师

Rank: 3Rank: 3

精华
0
门户文章
0
魔力币
297
魔法值
0
注册时间
2016-9-2
发表于 2018-12-21 18:33:31 | 显示全部楼层

46

主题

744

帖子

1601

积分

大魔法师

Rank: 5Rank: 5

精华
0
门户文章
0
魔力币
1201
魔法值
0
注册时间
2015-12-10
发表于 2018-12-21 21:58:40 | 显示全部楼层
184303745 发表于 2018-12-21 18:33
一场精心策划的针对驱动人生公司的定向攻击活动分析
腾迅出的

个人还是比较相信驱动人生的,国内驱动就三家,驱动精灵,360驱动和驱动人生。人生日历也在用。还是比较顺手的。

26

主题

1259

帖子

5224

积分

中级魔导师

Rank: 7Rank: 7Rank: 7

精华
0
门户文章
0
魔力币
4789
魔法值
0
注册时间
2016-11-6
发表于 2018-12-23 10:20:35 | 显示全部楼层
驱动精灵、电脑管家之类的软件从来不用,一台电脑就那几个驱动、应用软件

10

主题

839

帖子

556

积分

高级魔法师

Rank: 4

精华
0
门户文章
0
魔力币
375
魔法值
0
注册时间
2018-2-19
发表于 2018-12-24 21:50:41 | 显示全部楼层
基本不用了,
国外的就很省事也没有这么多广告和推送
实际上 小白才出0day 升级驱动
我已经懒到半年 1年才升级一次驱动
基本还是从官网
现说 驱动不出问题 正常使用就是了

0

主题

10

帖子

32

积分

魔法学徒

Rank: 1

精华
0
门户文章
0
魔力币
31
魔法值
0
注册时间
2016-5-3
QQ
发表于 2018-12-25 14:54:43 | 显示全部楼层
还好我用的是XX精灵。怕怕

22

主题

263

帖子

892

积分

高级魔法师

Rank: 4

精华
0
门户文章
0
魔力币
761
魔法值
0
注册时间
2016-5-4

DDOS纪念勋章

发表于 2018-12-25 22:15:57 | 显示全部楼层
这公司可以……

2

主题

60

帖子

142

积分

初级魔法师

Rank: 2

精华
0
门户文章
0
魔力币
132
魔法值
0
注册时间
2016-3-1
发表于 2018-12-31 01:50:45 | 显示全部楼层
原来用驱动精灵,发现是大流氓,后面用驱动人生,发现还是大流氓,现在只敢自己手动下驱动了

1

主题

666

帖子

638

积分

高级魔法师

Rank: 4

精华
0
门户文章
0
魔力币
525
魔法值
0
注册时间
2018-11-13
发表于 2018-12-31 16:59:52 | 显示全部楼层
从没用过驱动人生/驱动精灵之类的人路过……

10

主题

147

帖子

444

积分

中级魔法师

Rank: 3Rank: 3

精华
0
门户文章
0
魔力币
393
魔法值
0
注册时间
2015-8-29
发表于 2019-1-3 05:47:18 | 显示全部楼层
重来不用这种垃圾软件安装驱动,全都是去官网下载并存盘或者安装厂家官方软件自动更新。经常使用驱动人生的一般都是小白,或者机器特别老的。

2

主题

27

帖子

190

积分

初级魔法师

Rank: 2

精华
0
门户文章
0
魔力币
183
魔法值
0
注册时间
2019-1-18
发表于 2019-1-22 22:37:08 | 显示全部楼层
一直用360的,多少年了,还没出过什么问题。杀毒软件装的NOD32。

7

主题

432

帖子

335

积分

中级魔法师

Rank: 3Rank: 3

精华
0
门户文章
0
魔力币
258
魔法值
0
注册时间
2018-2-6
发表于 2019-1-23 11:41:41 来自手机 | 显示全部楼层
不用怕这个

联系我们|手机版|KoolShare ( 沪ICP备13045430号962110 沪公网备31010402005377

GMT+8, 2019-7-19 22:55 , Processed in 0.116579 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表