警惕！驅(qū)動(dòng)軟件“驅(qū)動(dòng)人生”存在后門(mén)可傳播木馬病毒

概述

2018年12月14日，國(guó)內(nèi)Windows平臺(tái)下免費(fèi)驅(qū)動(dòng)管理軟件“驅(qū)動(dòng)人生”通過(guò)軟件自動(dòng)升級(jí)的方式向用戶(hù)推送了后門(mén)病毒DTSealer，該程序利用“永恒之藍(lán)”高危漏洞進(jìn)行局域網(wǎng)內(nèi)的大范圍傳播，同時(shí)回傳被感染用戶(hù)電腦CPU以及IP地址等具體信息到攻擊服務(wù)器，之后下載惡意代碼進(jìn)行執(zhí)行。此次感染面積巨大，半天時(shí)間內(nèi)已有數(shù)萬(wàn)用戶(hù)電腦受到感染。此次木馬傳播事件的發(fā)生，是由于該軟件的某些老版本升級(jí)組件代碼漏洞被惡意攻擊所造成。

病毒詳情

?病毒執(zhí)行流程：

“驅(qū)動(dòng)人生”升級(jí)推送程序會(huì)通過(guò)網(wǎng)址鏈接將惡意程序下載到本地進(jìn)行執(zhí)行，然后釋放自身到System32系統(tǒng)目錄下并生成32位母體程序svhost.exe，同時(shí)將自身注冊(cè)為系統(tǒng)服務(wù)執(zhí)行后續(xù)的相關(guān)任務(wù)。在svhost.exe(32位)執(zhí)行過(guò)程中會(huì)上傳用戶(hù)電腦配置信息，并且下載惡意程序eb.exez。在執(zhí)行完成后釋放出64位變體程序svhhost.exe，其將作為代理程序釋放出svvhost.exe攻擊模塊，該攻擊模塊會(huì)執(zhí)行掃描局域網(wǎng)操作，然后利用windows下高危漏洞“永恒之藍(lán)”傳播32位母體svhost.exe，擴(kuò)大感染面積。具體流程如下圖所示：

　　整體執(zhí)行流程

?相關(guān)模塊具體分析：svhost.exe(32位與64位版)

1)注冊(cè)自身為Ddriver服務(wù)：

　　注冊(cè)服務(wù)名

2)獲取系統(tǒng)產(chǎn)品號(hào)以及顯卡等信息：

　　獲取顯卡信息

3) 查看安全軟件信息，從下圖可以看出主流安全軟件都羅列在內(nèi)。

　　獲取安全軟件信息

4) 將獲取到的用戶(hù)電腦信息作為請(qǐng)求參數(shù)獲得shellcode指令執(zhí)行。從請(qǐng)求URL可以看出之前獲取到用戶(hù)名稱(chēng)以及CPU，UUID等相關(guān)信息。

　　獲取shellcode

5) 從服務(wù)器hxxp://dl.haqo.net/獲取加密的惡意代碼eb.exez(svvhost.exe母體)進(jìn)行執(zhí)行。

　　下載svvhost.exe

?相關(guān)模塊具體分析：svvhost.exe

快速枚舉局域網(wǎng)中主機(jī)的445端口，使用永恒之藍(lán)漏洞進(jìn)行攻擊，運(yùn)行界面會(huì)回顯出當(dāng)前局域網(wǎng)主機(jī)版本以及是否打過(guò)補(bǔ)丁。攻擊成功后下載svhost副本，增加受感染主機(jī)數(shù)量。

　　枚舉局域網(wǎng)中的445端口

安全解決方案

迪普科技安全研究院提醒廣大用戶(hù)：對(duì)于已經(jīng)感染主機(jī)，建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離，可以通過(guò)查看系統(tǒng)目錄

C:\Windows\SysWOW64(system32)下是否存在svhost.exe\svhhost.exe文件，以及查找“Ddriver”服務(wù)定位刪除惡意文件。

此外，可參考如下建議提高防御能力：

1、服務(wù)器使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解;

2、服務(wù)器暫時(shí)關(guān)閉不必要的端口(如135、139、445);

3、盡量關(guān)閉不必要的文件共享;

4、及時(shí)升級(jí)系統(tǒng)補(bǔ)丁。

迪普科技解決方案

迪普科技安全研究院監(jiān)測(cè)到“驅(qū)動(dòng)人生”木馬病毒爆發(fā)后，迅速采取了應(yīng)急措施。

1、目前DPtech IPS2000、FW1000可對(duì)“驅(qū)動(dòng)人生”所傳播病毒可以進(jìn)行有效防護(hù)，對(duì)應(yīng)特征庫(kù)版本號(hào)如下：

◆產(chǎn)品系列：

IPS2000，F(xiàn)W1000

◆病毒庫(kù)版本：AV-R1.4.466

2、使用DPtech慧眼安全檢測(cè)產(chǎn)品資產(chǎn)盤(pán)點(diǎn)功能，快速識(shí)別出現(xiàn)網(wǎng)開(kāi)啟高危端口的資產(chǎn);使用安全漏洞檢測(cè)功能識(shí)別出易被病毒感染的高危風(fēng)險(xiǎn)資產(chǎn)，并根據(jù)相應(yīng)的修復(fù)建議進(jìn)行安全加固。

3、在接入層部署DPtech LSW3600-SE系列自安全交換機(jī)，可使網(wǎng)絡(luò)接入主動(dòng)識(shí)別木馬、蠕蟲(chóng)等病毒傳播行為并實(shí)時(shí)處置，天然防止病毒傳播;可視化定位病毒傳播源，幫助管理員快速處理內(nèi)網(wǎng)威脅。

4、迪普科技官網(wǎng)特征庫(kù)下載地址

聯(lián)系我們

迪普科技正在全力跟蹤相關(guān)漏洞的最新進(jìn)展，請(qǐng)啟動(dòng)設(shè)備自動(dòng)更新特征庫(kù)功能，有疑問(wèn)的客戶(hù)也可聯(lián)系迪普科技當(dāng)?shù)剞k事處售后人員或撥打客戶(hù)服務(wù)熱線(xiàn)電話(huà)：400-6100-598，進(jìn)一步了解相關(guān)情況。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。