攻击MSSQL数据库！“驱动人生”木马最新变种袭击多行业

2018年12月17日，利用“驱动人生”供应链传播的木马病毒感染了大量的主机。近日，该病毒再次升级变异，大面积袭击国内政府、医院、煤矿业以及各大企业。

最新变种在原有攻击模块（永恒之蓝漏洞攻击、SMB爆破、PSEXEC远程执行）的基础上，新增了MSSQL爆破攻击的功能，更为致命的是，当病毒爆破成功后，还会将用户密码改为ksa8hd4,m@~#$%^&*()，严重影响业务正常运行。某公司紧急发布预警，提醒各行业用户防范“驱动人生”最新木马变种。

病毒名称：“驱动人生”最新木马变种

病毒性质：木马病毒

影响范围：国内政府、医院、煤矿业及各大企业等出现大量感染

危害等级：高危

传播方式：永恒之蓝漏洞攻击、SMB爆破、PSEXEC远程执行、MSSQL爆破

如何确认是否被病毒感染

1、感染“驱动人生”病毒变种木马的主机，会运行一个伪装的svchost进程，该父进程会接着创建进程taskmgr、svchost以及cmd，其中taskmgr为挖矿进程。

2、 观察计划任务，会发现该病毒创建了多个定时任务，包括Ddrivers、DnsScan、WebServers、Bluetooths，其中Bluetooths为powershell无文件攻击方式，定时执行powershell脚本从网上实时更新木马病毒。

注册表启动项也新增了Driver。

3、主机会增加一个账户k8h3d。

4、病毒为了防止主机被其他病毒再次感染，创建了包括445、135、136、137、139等端口的禁用策略，可在防火墙策略中查看。

病毒说明

驱动人生”病毒更新过程

病毒流程

[1] 病毒母体自我复制到C:\Widnows\system32\drivers\svchost.exe和C:\Window\system32\svhost.exe路径下，进行伪装。

[2] 释放传播模块\Temp\svchost.exe对内网主机进行攻击，主要使用了永恒之蓝、SQL Server爆破、SMB爆破以及psexec远程执行命令等攻击方式。

[3] 释放潜伏模块\system32\wmiex.exe，以创建注册表启动项、计划任务等方式进行持久化攻击。

[4] 调用cmd.exe来执行wmic.exe命令，清理一些系统工具和挖矿进程（抢占CPU）。

[5] 释放挖矿模块taskmgr.exe开始挖矿，所挖取的币种为门罗币。

解决方案

已经下载“驱动人生”软件的用户，请手工更新版本或卸载该软件。此外，因“驱动人生”软件病毒存在传播行为，存在主机相互感染的可能，不管主机是否有使用“驱动人生”，均建议用户进行病毒检测查杀及病毒防御。

病毒检测查杀：

1、某公司下一代防火墙、安全感知平台、EDR等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

2、某公司安全团队针对最新“驱动人生”木马变种，为广大用户免费提供专杀清除脚本，点击链接进行下载（请使用管理员权限运行）：

http://edr.sangfor.com.cn/tool/驱动人生专杀2.1.zip

3、为更全面地进行病毒查杀，某公司为广大用户免费提供通用查杀工具，可下载如下工具，进行全盘检测查杀：

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

病毒防御：

一、修复“永恒之蓝”利用的MS17-010漏洞，补丁链接参考：

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

二、若不使用共享服务，关闭相关共享端口(135、137、138、139、445)及不必要的端口。

三、内网PC操作系统使用复杂密码。数据库服务器包括数据库SA密码更改为复杂密码。

四、某公司下一代防火墙、终端检测响应平台（EDR）均有防爆破功能。下一代防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。

1、防火墙配置步骤

①确认当前设备版本和规则库版本：

规则库版本，确认“IPS漏洞特征识别库”版本，保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

设备版本：建议升级至AF8.0.5及以上版本，同时开启杀毒功能，以获取更好的防护效果及更快速的更新能力。

②        开启安全功能：

针对此次的“驱动人生”木马防护，某公司 AF建议针对【内网主机】，可以开启 “病毒防护功能”功能。针对【对外发布服务器】，可以开启“暴力破解”功能，配置如下：

新增开启病毒防护功能的内容安全模板，如下图：

新增针对“内网主机”的防护策略，【策略】——【安全防护策略】——“新增”——“用户防护策略”，开启“内容安全”功能，动作选择“拒绝”。配置如下：

新增针对“对外发布的服务器”防护策略，【策略】——【安全防护策略】——“新增”——“业务防护策略”，开启“漏洞攻击防护”功能，动作选择“拒绝”。配置如下：

2、某公司EDR配置步骤：

针对“驱动人生”木马防护，EDR需要开启病毒查杀、防暴力破解。

①更新病毒库：更新病毒库到20190226023954及以上版本，即可对驱动人生”木马进行查杀。

EDR管理平台能连接互联网情况：通过以下界面检查EDR管理平台是否完成自动更新。

EDR管理平台不能联网情况：通过以下地址下载离线病毒库，导入EDR管理平台更新。

https://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000022878128#/100000037221875/all

病毒库需要解压，解压密码为sangfor，得到pkg文件，通过以下界面导入EDR管理平台。

②开启防暴力破解和病毒查杀：

新增““驱动人生”木马终端安全策略，针对windows终端和linux终端同时配置安全策略，如下图：

将“驱动人生”终端安全策略应用到需防御的终端。如下图：

对需保护的终端进行一次全盘查杀，检查是否发现病毒，如下图：

对需保护的终端进行定时全盘查杀，定期检查是否发现病毒，如下图：

3、某公司SIP更新IOC威胁情报库：

在SIP能上网环境中，可自动更新IOC情况库，更新到2月26日。

当SIP不能上网，需要离线更新IOC库，需要先通过以下地址下载最新库文件：http://bbs.sangfor.com.cn/plugin.php?id=service:download&action=view&fid=100000021428125#/100000035154687/all

下载后点击手动导入，上传IOC情况库：

导入完成后，如下，更新到2019年2月26号的IOC库。

五、某公司下一代防火墙用户，建议升级到AF805版本，并连接某公司安全云脑，实现病毒即时防御效果。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用某公司安全感知平台+下一代防火墙+EDR，对内网进行感知、查杀和防护。

已经中招了，唉

  更新，开启防护！

多谢讲解，防患于未然

上网安全第一条，诶两行泪两行泪

默默赶紧去做检查吧，防患于未然

很不错噢。

有用、防患于未然！

看来要去拜访客户了