最新病毒库日期:
              • 进击的“驱动人生木马?#20445;?#20869;含防御方案)
              2019-05-08 16:36 来源:未知
              【文章摘要】近日,江民病毒监测?#34892;?#20877;次拦截了驱动人生最新变种,新的变种更新了C2域名,更换计划任务后门,感染成功之后会将用户的信息(IP、域、用户名和密码hash)上传到新的恶意服务器

              近日,江民病毒监测?#34892;?#20877;次拦截了“驱动人生”最新变种,新的变种更新了C2域名,更换计划任务后门,感染成功之后会将用户的信息(IP、域、用户名和密码hash)上传到新的恶意服务器(http[:]//log.bddp.net/logging.php)中实现信息?#21344;?#30340;功能。

              早在2018年11月12日,江民反病毒监测?#34892;?#21457;现,有黑客使用国外IP代理入侵驱动人生内网服务器进行了攻击前准备和测试,在一个月的准备期后,2018年12月14日,驱动人生木马正式爆发、扩散,短短数小?#20445;?#36817;10万用户受到攻击。

              至今仅过去了6个月,江民病毒监测?#34892;囊讯?#27425;发现并拦截了驱动人生木马的新变种。该病毒始终抱着锲而不舍的精神,开启了升级之路,截止目前,已经更新了十余个版本,屡次被成功拦截查杀,可谓越挫越勇。

               


              恶意代码攻击方式

              a) 永恒之蓝漏洞攻击

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              b) Pass The Hash攻击

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              c) SMB和MSSQL弱口令爆破

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              恶意代码驻留方式

              d) powershell后门

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              e) 计划任务

              进击的驱动人生挖矿病毒(内含防御方案)

               

              f) 注册服务

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              g) 启动目录

              进击的驱动人生挖矿病毒(内含防御方案)

               

               

              传播方式及危害

              升级后的驱动人生木马,攻击手段更加多样化,隐蔽性更好,增强了驻留能力,传播能力更强,更具有目的性,危害也更大。

              a)传播方式:

              1)、通过445端口利用永恒之蓝漏洞进行传播;

              2)、通过445端口利用PassTheHash攻击方式进行传播;

              3)、利用MSSQL弱口令爆破通过1433端口进行攻击;

              4)、利用Powershell后门、hta脚本和bat脚本通过80端口下载传播。

              b)样本危害:

              1)、受感染的主机会进行挖矿操作,?#29616;?#24433;响主机性能;

              2)、受感染的主机会植入后门,攻击者可在后续攻击中随时调整攻击策略,极端情况下可能下发勒索软件造成大面积破坏;

              3)、受感染的主机会上传主机的基本信息,攻击者可以用于?#21344;?#22823;面积情报信息;

              3)、受感染的主机形成了一个僵尸网络,攻击者可以利用进行DDoS攻击或者用于其他恶意样本的传播?#22836;?#21457;。

              措施及建议

              1). 已感染病毒的主机尽快安装防病毒软件并更新至最新病毒库进行扫描杀毒;

              2). 内网主机需要打上MS17-010漏洞补丁防止永恒之蓝漏洞的攻击;

              3). 驱动人生挖矿病毒的驻留和传播极度依赖powershell.exe和certutil.exe,因此强烈建议不常使用这两个程序的用户使用组策?#36234;?#29992;这两个程序的执行;

              4). 加强内网中MSSQL账户的密码强度,防止被弱口令爆破攻击;

              5). 加强内网SMB共享账户密码强度并且尽可能不要使用同一个账号和密码,防止被PassTheHash的攻击方式攻破;

              复制链接获取详细分析报告:https://0x9.me/Mv0pX

              全民彩票手机版

                                      云南11选5彩票控 吉林新快3走势图 重庆欢乐生肖走势图 体彩七星彩走势图 极速飞艇单双技巧 内蒙古十一选五 组选3和组选6什么意思 江苏快3开奖怎么看直播 下围棋的高手都有谁 天津时时彩22期 福建体彩31选7走势图走势图 六合图库彩图118万众 浙江20选5号码走势图 福彩论坛彩票论坛首页 新疆喜乐彩票走势图大全