“驅(qū)動人生”：老病毒翻出新花樣

?深信服千里目?舉報

?2021-09-24 14:41??137599

背景概述

近日，深信服終端安全團隊捕捉到“驅(qū)動人生”病毒的新變種，并通過云端的威脅情報系統(tǒng)監(jiān)測到海內(nèi)外已有大量終端被感染。“驅(qū)動人生”病毒自2018年出現(xiàn)，至今出現(xiàn)多個變種，不斷進行技術(shù)優(yōu)化以躲避安全軟件的查殺監(jiān)測。

該病毒利用永恒之藍漏洞、SMBGhost漏洞等多種高危漏洞對Windows、Linux下的主機進行入侵感染，在入侵成功之后不僅會下載挖礦文件進行挖礦，還會釋放傳播模塊繼續(xù)入侵感染其他終端，并且病毒所使用的Powershell腳本經(jīng)過多層混淆用以逃避安全軟件的查殺。

“驅(qū)動人生”病毒變種跟蹤圖

點擊查看相關(guān)的分析文章

1.《謹防“驅(qū)動人生”升級通道木馬病毒惡意傳播》

2.《警惕“驅(qū)動人生”木馬最新變種襲擊MSSQL數(shù)據(jù)庫》

3.《借雞生蛋！“驅(qū)動人生”挖礦木馬使用Outlaw僵尸網(wǎng)絡(luò)模塊進行廣泛傳播》

根據(jù)威脅情報查詢此次新變種利用的域名信息，創(chuàng)建時間于9月初，說明該變種剛開始傳播不久。

病毒運行流程

Windows

https://t[.]m7n0y.com/*.jsp 會卸載部分殺毒軟件；

在如下位置創(chuàng)建計劃任務(wù)：

\[隨機字符串1]

\[隨機字符串1]\[隨機字符串2]

\Microsoft\Windows\[隨機字符串1]\[隨機字符串2]

如果WMI中沒有檢測到名為blsckbell的事件過濾器，則會創(chuàng)建多個隨機名稱的WMI過濾器和WMI消費者駐留項；

計劃任務(wù)和WMI中執(zhí)行的代碼內(nèi)容主要為釋放挖礦程序、if.bin和kr.bin模塊；

病毒還會將?C:\Windows\System32\Windowspowershell\V1.0\powershell.exe?重命名為隨機字符，后續(xù)使用隨機字符命名的powershell執(zhí)行挖礦腳本等命令，給管理員編寫腳本批量清除這些進程增加了難度

If.bin模塊分析

If.bin 是傳播模塊，主要功能為暴力破解和漏洞利用，并然后在成功入侵其他主機后持續(xù)傳播病毒。

1.內(nèi)網(wǎng)IP收集：傳播階段需要獲取目標(biāo)IP列表，病毒默認掃描192.168.*.*、10.0.*.*、172.16.*.* 中的數(shù)個C段地址，并會通過ipconfig、GetHostByName、收集外網(wǎng)地址等方式擴充掃描IP地址段。

2.密碼收集：病毒內(nèi)置了部分常用的用戶名和弱密碼，列表如下圖：

在實行暴力破解之前，還會使用 mimikatz 模塊獲取本機的密碼，用以擴充現(xiàn)有的密碼表，增加爆破成功概率（由此可見，不同主機使用相同密碼危害有多大）

3.暴力破解和漏洞利用

針對的服務(wù)列表如下：

執(zhí)行暴力破解前會檢查65529端口，這是xmrig挖礦進程監(jiān)聽的端口，避免主機被重復(fù)感染。

4.傳播階段

通過暴力破解、漏洞利用等方式成功獲取到其他主機的權(quán)限之后，會直接嘗試在主機中執(zhí)行powershell或shell命令，從 https://t[.]m7n0y.com/*.jsp?(Windows)或 https://t[.]m7n0y.com/ln/core.png (Linux)?中下載并執(zhí)行啟動腳本，進行新一輪的感染。

Kr.bin模塊分析

Kr模塊循環(huán)不斷地對失陷主機的進行監(jiān)控，不僅可以關(guān)閉名單中的進程、服務(wù)、計劃任務(wù)，還可以中斷其他挖礦進程的連接，并封禁掉相應(yīng)的ip。

停止并刪除在名單中的服務(wù)、進程、計劃任務(wù)：

隱藏任務(wù)管理器：

解禁自己的ip：

判斷外部連接中是否存在挖礦連接，存在則停止相應(yīng)進程并禁掉該ip：

?

Linux

https://t[.]m7n0y.com/ln/core.png通過/etc/crontab文件寫入計劃任務(wù)，執(zhí)行a.asp腳本；

a.asp腳本會關(guān)閉同行的挖礦進程；

下載挖礦文件xr至/.Xl1目錄，并運行挖礦文件。

利用ssh橫向傳播

獲取礦機ip、版本、算力等信息，并返回給后臺。

IOC

t.m7n0y.com

d.bb3u9.com

t.jdjdcjq.top

t.qq7u0.com

t.phu7t.com

d.u78wjdu.com

p.jue82h.com

?

深信服產(chǎn)品解決方案

1.?深信服安全感知管理平臺SIP、下一代防火墻AF、終端響應(yīng)檢測平臺EDR用戶，建議及時升級最新版本，并接入安全云腦，使用云查服務(wù)以及時檢測防御新威脅；

2.深信服為廣大用戶免費提供查殺工具，可下載如下工具，進行檢測查殺

64位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統(tǒng)下載鏈接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3.深信服安全產(chǎn)品集成深信服SAVE人工智能檢測引擎，擁有強大的泛化能力，精準(zhǔn)防御未知病毒；

4.深信服推出安全運營服務(wù)，通過以“人機共智”的服務(wù)模式幫助用戶快速提高安全能力。針對此類威脅，安全運營服務(wù)提供安全設(shè)備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)，確保第一時間檢測風(fēng)險以及更新策略，防范此類威脅。

作為國內(nèi)前沿的網(wǎng)絡(luò)安全廠商，深信服多年來持續(xù)投入勒索防護研究，內(nèi)容涵蓋黑產(chǎn)洞察、病毒研究、情報追蹤、投放分析，并沉淀出完整覆蓋突破邊界、病毒投放、加密勒索、橫向傳播等勒索攻擊鏈的系統(tǒng)性解決方案，目前已協(xié)助1000+各行業(yè)用戶有效構(gòu)建起了勒索病毒防護最佳實踐。