12月14日下午開始,互聯網上出現了一款利用“驅動人生”升級通道,並同時利用永恆系列高危漏洞傳播的木馬突發事件,存在一定網絡安全風險隱患。我中心立即啟動應急機制,對此事件開展監測分析工作。
一、“驅動人生”木馬程序基本情況
綜合CNCERT和國內網絡安全企業(騰訊公司、360公司)已獲知的樣本情況和分析結果,驅動人生旗下的“人生日曆”等軟件,通過其升級組件dtlupg.exe,開始下發執行木馬程序F79CB9D2893B254CC75DFB7F3E454A69.exe。該木馬程序具備遠程執行代碼功能,啟動後會將用戶計算機的詳細信息發往木馬服務器控制端,並接收遠程指令執行下一步操作。此外,該木馬還攜帶有永恆之藍漏洞攻擊組件,可利用該漏洞攻擊局域網與互聯網其他機器,進行傳播擴散。
據深圳市驅動人生科技股份有限公司於12月15日發佈的聲明所述,該公司部分老版本升級組件代碼漏洞被惡意攻擊,導致了此次木馬傳播事件的發生。
二、感染情況
CNCERT持續對“驅動人生”木馬程序進行監測,截至12月15日17時,累計發現境內下載該木馬程序的主機為9.9萬餘臺,其中廣東、江蘇、北京等省受影響主機數量較多。木馬程序所在的下載端IP有3個,均位於境外。境內主機下載該木馬程序的時間段為14日14時16分至15日14時26分,集中爆發於14日18時左右。15日14時26分至17時期間,並未監測到下載情況。目前,該下載端URL鏈接已失效。
同時,CNCERT對木馬程序控制端IP進行分析發現,“驅動人生”木馬程序控制端地址為6個,控制端IP地址均位於境外。截至12月15日17時,累計發現境內共有2.1萬餘臺被控主機上線並連接控制端。
三、處置防範建議
(一)驅動人生老版本用戶應手動更新升級版本。
(二)安裝並及時更新殺毒安全軟件。
(三)做好相關重要數據備份工作。
(四)關閉445等端口(其他關聯端口如: 135、137、139)的外部網絡訪問權限,在服務器上關閉不必要的上述服務端口。
(五)服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解。
(六)可安裝騰訊電腦管家或360安全衛士等安全軟件進行此類木馬程序的查殺。
“驅動人生木馬”2小時感染10萬電腦 已精準查殺
12月14日下午,騰訊電腦管家監測發現,一款通過“驅動人生”升級通道,並同時利用“永恆之藍”高危漏洞傳播的木馬突然爆發,僅2個小時受攻擊用戶就高達10萬。騰訊電腦管家可精準攔截該病毒攻擊,管家團隊也將持續跟蹤該款病毒並同步相關信息。
值得注意的是,因為這款木馬病毒會利用高危漏洞在企業內網呈蠕蟲式傳播,並進一步下載雲控木馬,對企業信息安全威脅巨大。
電腦管家經過追溯病毒傳播鏈發現,此款病毒自12月14日約14點,利用“驅動人生”、“人生日曆”等軟件最早開始傳播,傳播源是該軟件中的dtlupg.exe(疑似升級程序)。
騰訊安全專家指出,本次病毒爆發約70%的傳播是通過驅動人生升級通道進行的,約30%通過“永恆之藍”漏洞進行自傳播,入侵用戶機器後,會下載執行雲控木馬,並利用“永恆之藍”漏洞在局域網內進行主動擴散。
病毒作者可通過雲端控制中毒電腦並收集電腦部分信息,中毒電腦會在雲端指令下進行門羅幣挖礦。
針對該木馬病毒對企業信息安全帶來的潛在威脅,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松也建議廣大企業用戶,可暫時關閉服務器不必要的端口,如135、139、445;使用騰訊御點終端安全管理系統的漏洞修復功能,及時修復系統高危漏洞;服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解。
15日凌晨,驅動人生官微發佈聲明,稱“產品少部分未更新的老版本升級組件漏洞被惡意利用攻擊,目前新版已啟用全新升級組件。建議各老版本用戶手動更新升級版本”。
閱讀更多 湖北楚網 的文章
