×

攻击MSSQL数据库!“驱动人生”木马最新变种袭击多行业
  

SANGFOR_智安全 199312人觉得有帮助

{{ttag.title}}


2018年12月17日,利用“驱动人生”供应链传播的木马病毒感染了大量的主机。近日,该病毒再次升级变异,大面积袭击国内政府、医院、煤矿业以及各大企业。

最新变种在原有攻击模块(永恒之蓝漏洞攻击、SMB爆破、PSEXEC远程执行)的基础上,新增了MSSQL爆破攻击的功能,更为致命的是,当病毒爆破成功后,还会将用户密码改为ksa8hd4,m@~#$%^&*(),严重影响业务正常运行。某公司紧急发布预警,提醒各行业用户防范“驱动人生”最新木马变种。

病毒名称:“驱动人生”最新木马变种

病毒性质:木马病毒

影响范围:国内政府、医院、煤矿业及各大企业等出现大量感染

危害等级:高危

传播方式:永恒之蓝漏洞攻击、SMB爆破、PSEXEC远程执行、MSSQL爆破


如何确认是否被病毒感染

1、感染“驱动人生”病毒变种木马的主机,会运行一个伪装的svchost进程,该父进程会接着创建进程taskmgr、svchost以及cmd,其中taskmgr为挖矿进程。

2、 观察计划任务,会发现该病毒创建了多个定时任务,包括Ddrivers、DnsScan、WebServers、Bluetooths,其中Bluetooths为powershell无文件攻击方式,定时执行powershell脚本从网上实时更新木马病毒。
注册表启动项也新增了Driver。
3、主机会增加一个账户k8h3d。
4、病毒为了防止主机被其他病毒再次感染,创建了包括445、135、136、137、139等端口的禁用策略,可在防火墙策略中查看。

病毒说明
驱动人生”病毒更新过程

病毒流程
[1] 病毒母体自我复制到C:\Widnows\system32\drivers\svchost.exe和C:\Window\system32\svhost.exe路径下,进行伪装。

[2] 释放传播模块\Temp\svchost.exe对内网主机进行攻击,主要使用了永恒之蓝、SQL Server爆破、SMB爆破以及psexec远程执行命令等攻击方式。

[3] 释放潜伏模块\system32\wmiex.exe,以创建注册表启动项、计划任务等方式进行持久化攻击。

[4] 调用cmd.exe来执行wmic.exe命令,清理一些系统工具和挖矿进程(抢占CPU)。

[5] 释放挖矿模块taskmgr.exe开始挖矿,所挖取的币种为门罗币。

解决方案
已经下载“驱动人生”软件的用户,请手工更新版本或卸载该软件。此外,因“驱动人生”软件病毒存在传播行为,存在主机相互感染的可能,不管主机是否有使用“驱动人生”,均建议用户进行病毒检测查杀及病毒防御。
病毒检测查杀:
1、某公司下一代防火墙、安全感知平台、EDR等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
2、某公司安全团队针对最新“驱动人生”木马变种,为广大用户免费提供专杀清除脚本,点击链接进行下载(请使用管理员权限运行):
http://edr.sangfor.com.cn/tool/驱动人生专杀2.1.zip
3、为更全面地进行病毒查杀,某公司为广大用户免费提供通用查杀工具,可下载如下工具,进行全盘检测查杀:

病毒防御:
一、修复“永恒之蓝”利用的MS17-010漏洞,补丁链接参考:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
二、若不使用共享服务,关闭相关共享端口(135、137、138、139、445)及不必要的端口。
三、内网PC操作系统使用复杂密码。数据库服务器包括数据库SA密码更改为复杂密码。
四、某公司下一代防火墙、终端检测响应平台(EDR)均有防爆破功能。下一代防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
1、防火墙配置步骤
①确认当前设备版本和规则库版本:
规则库版本,确认“IPS漏洞特征识别库”版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
设备版本:建议升级至AF8.0.5及以上版本,同时开启杀毒功能,以获取更好的防护效果及更快速的更新能力。
②        开启安全功能:
针对此次的“驱动人生”木马防护,某公司 AF建议针对【内网主机】,可以开启 “病毒防护功能”功能。针对【对外发布服务器】,可以开启“暴力破解”功能,配置如下:
新增开启病毒防护功能的内容安全模板,如下图:
新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:

新增针对“对外发布的服务器”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”功能,动作选择“拒绝”。配置如下:


2、某公司EDR配置步骤:
针对“驱动人生”木马防护,EDR需要开启病毒查杀、防暴力破解。
①更新病毒库:更新病毒库到20190226023954及以上版本,即可对驱动人生”木马进行查杀。
EDR管理平台能连接互联网情况:通过以下界面检查EDR管理平台是否完成自动更新。
EDR管理平台不能联网情况:通过以下地址下载离线病毒库,导入EDR管理平台更新。
https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
②开启防暴力破解和病毒查杀:
新增““驱动人生”木马终端安全策略,针对windows终端和linux终端同时配置安全策略,如下图:

将“驱动人生”终端安全策略应用到需防御的终端。如下图:

对需保护的终端进行一次全盘查杀,检查是否发现病毒,如下图:

对需保护的终端进行定时全盘查杀,定期检查是否发现病毒,如下图:

3、某公司SIP更新IOC威胁情报库:
在SIP能上网环境中,可自动更新IOC情况库,更新到2月26日。
当SIP不能上网,需要离线更新IOC库,需要先通过以下地址下载最新库文件:http://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all
下载后点击手动导入,上传IOC情况库:
导入完成后,如下,更新到2019年2月26号的IOC库。
五、某公司下一代防火墙用户,建议升级到AF805版本,并连接某公司安全云脑,实现病毒即时防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知平台+下一代防火墙+EDR,对内网进行感知、查杀和防护。

打赏鼓励作者,期待更多好文!

打赏
10人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人