火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 病毒利用驱动人生升级通道及高危漏洞传播 12月14日半天感...

[复制链接]
198975 14
楼主
发表于 2018-12-15 01:12:56 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
一、        概述
12月14日,火绒安全团队发现"驱动人生"旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过"永恒之蓝"高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。
目前截获的病毒没有携带其他攻击模块,只是"潜伏"。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。
根据火绒安全团队分析发现, "驱动人生"、"人生日历"、"USB宝盒"等软件的用户会感染该病毒。病毒会同时执行两个任务:1、通过"永恒之蓝"漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧,存在大量未修复的漏洞,因此受到的威胁较大;2、下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等信息。
根据"火绒威胁情报系统"监测,该病毒于14日下午14点前后开始传播,之后逐步加大传播速度,被感染电脑数量迅速上升,到晚间病毒服务器关闭,停止传播。火绒工程师推测,病毒团伙可能是在做传播测试,不排除后续进行更大规模的传播。
火绒"企业版"和"个人版"无需升级即可拦截、查杀该病毒。火绒团队建议政府、企业、学校、医院等受此类病毒威胁较大的局域网用户,安装使用"火绒企业版"(可免费使用3个月),可有效防御所有通过"永恒之蓝"等高危漏洞传播的各种病毒。
请广大政企单位用户从火绒官网申请免费使用"火绒企业版",网址:https://www.huorong.cn/essmgr/essreg

二、        样本分析
火绒通过火绒终端威胁情报系统检测,自12月14日午时起有病毒正在通过驱动人生的升级推送功能进行大量传播。驱动人生升级推送程序会通过网址链接(hxxp://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe)将病毒样本下载到本地进行执行。驱动人生升级程序下载病毒样本动作,如下图所示:
下载病毒样本
该病毒被下载到本地运行后,会将自身释放到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver。病毒运行进程关系图,如下图所示:
病毒运行进程关系图
该服务运行后,首先会在System32(或SysWOW64)释放svhhost.exe进行执行,该程序我们暂且称之为代理病毒;之后再创建svvhost.exe,该病毒用于通过永恒之蓝漏洞将svhost.exe在网络中进行传播,下文分两个部分对两个不同的病毒模块进行分析。

永恒之蓝漏洞攻击
svvhost.exe运行后会对当前所在网络扫描,使用永恒之蓝漏洞进行攻击。攻击成功后,恶意代码会通过CertUtil从C&C服务器下载病毒到被攻击终端进行执行。漏洞攻击及火绒黑客入侵拦截截图,下图所示:
漏洞攻击及火绒黑客入侵拦截截图
被恶意代码执行的CertUtil下载命令行参数,如下图所示:
CertUtil下载相关命令行参数
恶意代码下载到被攻击终端的病毒文件与svhost相同,下载后文件路径为c:\install.exe,C&C服务器地址为:hxxp://dl.haqo.net。

svhost.exe与代理进程
父进程svhost.exe首先会收集本机信息,之后通过HTTP请求将在本机收集到的数据回传至C&C服务器地址(hxxp://i.haqo.net/i.png)。被回传的数据信息,如下图所示:
收集系统信息
请求链接示例,如下图所示:
请求链接示例
获取本机信息数据,如下图所示:
获取系统信息
获取安全软件运行状态
拼接请求参数
之后svhost.exe会从C&C服务器获取到加密的恶意代码下载链接,被下载的恶意代码执行方式分为两种:在代理进程内存中加载执行和直接下载到本地(svvhost.exe)运行。暂时,被下载执行的恶意代码只有svvhost.exe用来进行永恒之蓝传播(C&C服务器地址:hxxp://dl.haqo.net/eb.exez),内存加载执行相关的功能链接暂时没有被下发,我们初步推测病毒尚处于测试阶段。相关代码,如下图所示:
解密控制命令
根据控制命令执行远程恶意代码
通过FileMapping发送恶意代码
代理进程获取到恶意代码数据后进行执行,如下图所示:
代理进程执行恶意代码
根据火绒终端威胁情报系统,我们发现下发执行病毒文件的升级程序路径多指向驱动人生旗下应用。相关升级程序路径信息,如下图所示:
相关升级程序路径信息
通过同源代码比对,我们发现推送病毒执行的升级模块,与人生日历升级模块代码存在同源性。同源代码,如下图所示:
同源代码
推送病毒执行的升级模块与人生日历升级模块导出函数,如下图所示:
导出函数对比

三、        附录
样本SHA256:



回复

使用道具 举报

198975 14
沙发
发表于 2018-12-16 20:11:34 | 只看该作者
这个可真是特别恶劣,一般装驱动人生的时候恰好是系统刚刚重装完,没装防毒软件的时候。
回复

使用道具 举报

198975 14
板凳
发表于 2018-12-16 22:46:22 | 只看该作者
驱动这种都是品牌电脑在官网下载的
回复

使用道具 举报

198975 14
地板
发表于 2019-3-15 12:49:14 | 只看该作者
有没有靠谱装驱动的软件推荐一下?
回复

使用道具 举报

198975 14
5#
发表于 2019-6-23 14:10:02 | 只看该作者
我是用驱动精灵绿色版。
回复

使用道具 举报

198975 14
6#
发表于 2020-6-9 11:35:32 | 只看该作者
永恒之心 发表于 2019-3-15 12:49
有没有靠谱装驱动的软件推荐一下?

驱动总裁试试?
回复

使用道具 举报

198975 14
7#
发表于 2020-6-9 16:30:56 | 只看该作者
这两年我一直都只用IT天空出的万能驱动,因为IT天空做事比较有底线,虽然也有推广安装,但不多,而且可以在安装前直接勾掉就不会被装上,甚至在优启通pe下安装驱动时直接就是默认不推广的。
不论是优启通还是万能驱动都很好用,推荐。
万能驱动是离线安装驱动,不需要联网。我都是放U盘里. 当然打印驱动之类不会包含在里面,这类专门设备的驱动还是直接去官网找比较好。
回复

使用道具 举报

198975 14
8#
发表于 2020-6-10 19:30:13 | 只看该作者
5-7楼装法都不靠谱。
要么微软给你更,要么根据硬件型号上硬件官方网站下载。
回复

使用道具 举报

198975 14
9#
发表于 2020-6-10 21:49:34 | 只看该作者
本帖最后由 www. 于 2020-6-10 21:51 编辑

咳咳,这个还是要说明一下的,驱动人生当时出这个事情是服务器防护太渣,又正值节假日的时候,技术人员又都不在,服务器被恶意攻击了才导致的,这个现在叫做“驱动人生下载器木马”,并不是驱动人生官方公司故意恶意传播的呢,并不是常态……
从“病毒服务器只开放了不到10个小时即关闭”这句也能看出来肯定不是故意的。
回复

使用道具 举报

198975 14
10#
发表于 2020-10-4 15:36:17 | 只看该作者
哦哦哦,有360驱动大师,肯定安全
回复

使用道具 举报

198975 14
11#
发表于 2020-12-26 00:03:58 | 只看该作者
这算不算犯法

点评

别挖坟,那是是驱动人生服务器被攻击了。 (ps可以给驱动人生公司考虑一下部署火绒企业版,哈哈哈……)  发表于 2020-12-26 12:02
回复

使用道具 举报

198975 14
12#
发表于 2021-2-14 14:58:41 | 只看该作者
dzt 发表于 2020-6-9 11:35
驱动总裁试试?

现在开始捆绑了
回复

使用道具 举报

198975 14
13#
发表于 2021-2-15 17:47:22 | 只看该作者
电脑不要用驱动软件,微软自带的就比较稳定,我就这样
回复

使用道具 举报

198975 14
14#
发表于 2021-2-15 17:50:34 | 只看该作者
话说官人用什么反编译工具?IDA还有exe的吗
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表