最新病毒庫日期:
  • 進擊的“驅動人生木馬”(內含防御方案)
2019-05-08 16:36 來源:未知
【文章摘要】近日,江民病毒監測中心再次攔截了驅動人生最新變種,新的變種更新了C2域名,更換計劃任務后門,感染成功之后會將用戶的信息(IP、域、用戶名和密碼hash)上傳到新的惡意服務器

近日,江民病毒監測中心再次攔截了“驅動人生”最新變種,新的變種更新了C2域名,更換計劃任務后門,感染成功之后會將用戶的信息(IP、域、用戶名和密碼hash)上傳到新的惡意服務器(http[:]//log.bddp.net/logging.php)中實現信息收集的功能。

早在2018年11月12日,江民反病毒監測中心發現,有黑客使用國外IP代理入侵驅動人生內網服務器進行了攻擊前準備和測試,在一個月的準備期后,2018年12月14日,驅動人生木馬正式爆發、擴散,短短數小時,近10萬用戶受到攻擊。

至今僅過去了6個月,江民病毒監測中心已多次發現并攔截了驅動人生木馬的新變種。該病毒始終抱著鍥而不舍的精神,開啟了升級之路,截止目前,已經更新了十余個版本,屢次被成功攔截查殺,可謂越挫越勇。

 


惡意代碼攻擊方式

a) 永恒之藍漏洞攻擊

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

b) Pass The Hash攻擊

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

c) SMB和MSSQL弱口令爆破

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

038期二肖中特: 惡意代碼駐留方式

九发心水二肖中特 www.bkcgd.icu d) powershell后門

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

e) 計劃任務

進擊的驅動人生挖礦病毒(內含防御方案)

 

f) 注冊服務

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

g) 啟動目錄

進擊的驅動人生挖礦病毒(內含防御方案)

 

 

傳播方式及危害

升級后的驅動人生木馬,攻擊手段更加多樣化,隱蔽性更好,增強了駐留能力,傳播能力更強,更具有目的性,危害也更大。

a)傳播方式:

1)、通過445端口利用永恒之藍漏洞進行傳播;

2)、通過445端口利用PassTheHash攻擊方式進行傳播;

3)、利用MSSQL弱口令爆破通過1433端口進行攻擊;

4)、利用Powershell后門、hta腳本和bat腳本通過80端口下載傳播。

b)樣本危害:

1)、受感染的主機會進行挖礦操作,嚴重影響主機性能;

2)、受感染的主機會植入后門,攻擊者可在后續攻擊中隨時調整攻擊策略,極端情況下可能下發勒索軟件造成大面積破壞;

3)、受感染的主機會上傳主機的基本信息,攻擊者可以用于收集大面積情報信息;

3)、受感染的主機形成了一個僵尸網絡,攻擊者可以利用進行DDoS攻擊或者用于其他惡意樣本的傳播和分發。

措施及建議

1). 已感染病毒的主機盡快安裝防病毒軟件并更新至最新病毒庫進行掃描殺毒;

2). 內網主機需要打上MS17-010漏洞補丁防止永恒之藍漏洞的攻擊;

3). 驅動人生挖礦病毒的駐留和傳播極度依賴powershell.exe和certutil.exe,因此強烈建議不常使用這兩個程序的用戶使用組策略禁用這兩個程序的執行;

4). 加強內網中MSSQL賬戶的密碼強度,防止被弱口令爆破攻擊;

5). 加強內網SMB共享賬戶密碼強度并且盡可能不要使用同一個賬號和密碼,防止被PassTheHash的攻擊方式攻破;

復制鏈接獲取詳細分析報告:https://0x9.me/Mv0pX

通比牛牛和上庄牛牛的区别 311山东时时 快乐时时开奖结果 利赢棋牌游戏送10元 微信捕鱼0.01-20元炮 官方时时彩app下载 双色球计划免费版 免费黑客棋牌打鱼器 财富计划软件 二人麻将规则讲解 2017北京pk10官网直播 七星彩开奖视频直播 炸金花做牌技巧视频 龙虎斗押注口诀输5赢6 购买福建时时11选5 香港马会综合资枓大全2019