奇安信:2019上半年网络安全应急响应分析报告

主要观点

* 2019年上半年奇安信集团安服团队应急响应服务需求同比2018年上半年增长近69%。针对各政府机构、大中型企业的攻击从未停止过,反呈愈演愈烈之势,我国网络安全形式依然严峻。

* 医疗卫生、事业单位、公检法行业是2019年上半年攻击者攻击的主要目标。层出不穷的网络新型病毒,加大了各行业新型安全威胁风险。网络安全存在短板、人员缺乏安全意识更给了黑客网络攻击可乘之机,应大力倡导各行各业,通过宣传教育、攻防演练等方式加强网络安全意识培训,优化网络安全应急处突机制。

* 2019年上半年应急响应安全事件中,勒索病毒攻击仍然是政府机构、大中型企业服务器、数据库失陷的重要原因。除勒索病毒外,挖矿木马、综合型病毒(“驱动人生”病毒)是导致政府机构、大中型企业业务中断、数据泄露的主要原因。针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒,政府机构、大中型企业应制定完善的应急方案和安全防护措施,多角度看待安全问题。

* 网络安全应急响应工作应成为政府机构、大中型企业日常管理的一部分。勒索病毒等影响广泛的网络安全事件可能扩大为全行业、全国甚至全球性问题,网络安全应急响应需要政府机构、安全厂商、企业加强合作、取长补短,必要时进行跨国协作。

* 网络安全厂商提供的网络安全应急服务已经成为政府机构、大中型企业有效应对网络安全突发事件的重要手段。网络安全应急服务应该基于数据驱动、安全能力服务化的安全服务运营理念,结合云端大数据和专家诊断,为客户提供安全运维、预警检测、持续响应、数据分析、咨询规划等一系列的安全保障服务。

摘    要

* 2019年上半年奇安信集团安服团队共参与和处置了613起全国范围内的网络安全应急响应事件

* 2019年上半年应急处置事件最多的行业TOP3分别为:医疗卫生行业(83起)、公检法行业(61起)以及事业单位(61起),事件处置数分别占应急处置所有行业的13.5%、7.5%、7.5%。

* 2019年上半年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中,由行业单位自行发现的安全攻击事件占94.8%,而另有5.2%的安全攻击事件则是监管机构或主管单位的通报得知已被攻击。

* 2019年上半年应急安全事件的影响范围主要集中在内部服务器和数据库,占比26.43%;外部网站和内部网站,占比为22.68%。其次为办公专网,15.66%;一般业务系统,8.65%

* 2019年上半年应急事件中,黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因

* 2019年上半年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及综合型病毒(以“驱动人生”病毒为主),分别占比31.8%、14.8%、9.1%

 

第一章 2019上半年的应急

2019年1-6月奇安信集团安服团队共参与和处置了613起全国范围内的网络安全应急响应事件,第一时间协助用户处理安全事故,确保了用户门户网站、数据库和重要业务系统的持续安全稳定运行。

应急响应服务月度统计情况具体如下:

2019年上半年奇安信安服应急事件处置数量同比2018年上半年增长近69%,投入工时为2018年同期的3.16倍。通过对2019年上半年数据分析,19年1月至3月,应急请求逐月上升,于3月份达到上半年最高,在4至6月呈逐月下降趋势。

从上述数据可以看出,2019上半年针对政企机构、大中型企业的攻击从未间断过,3月份是攻击的高峰。通过对政企机构、大中型企业发生网络安全事件类型进行分析, 3月份“驱动人生病毒”安全事件全面爆发,导致应急需求呈上半年最高。4月到6月应急请求呈逐月下降趋势,可以看出,“驱动人生病毒”已基本得到遏制。

2019年下半年,各政企机构、大中型企业应继续加强内部网络安全建设,建立完善的应急处置机制,提高自身网络环境对突发安全事件的抵御能力。同时,奇安信安服团队将以最大努力,最大限度减少突发安全事件对政府机构、大中型企业的门户网站和业务系统造成的损失和对公众的不良影响,提高服务满意度,为政府机构、大中型企业建立完善的应急响应体系提供技术支撑。

应急响应服务救援覆盖区域具体如下:

2019年上半年,应急响应服务救援覆盖全国27个省市,省市覆盖率占全国84.4%。其中,新疆、西藏,宁夏,江西等地暂支持远程救援。

第二章 应急事件受害者分析

为进一步提高政府机构、大中型企业对突发安全事件的认识和处置能力,增强政企机构安全防护意识,对2019年上半年处置的所有应急事件从政企机构被攻击角度,对受害者行业分布、攻击事件发现方式、影响范围以及攻击行为造成的现象进行统计分析,反映19年上半年应急响应情况和各政企机构内部网络安全情况。

一、 行业现状分布分析

2019年上半年应急处置事件最多的行业TOP3分别为:医疗卫生行业(83起)、公检法行业(61起)以及事业单位(61起),事件处置数分别占应急处置所有行业的13.5%、7.5%、7.5%。三者之和约占应急处置事件总量的28.5%,即上半年近三分之一的应急处置事件发生于医疗卫生、公检法、事业单位。政企机构、大中型企业应急行业分布TOP15详见下图:

从行业报告排名可知,2019年上半年攻击者的攻击对象主要分布于政府机构、事业单位以及国家重要基础性建设行业。其中,医疗卫生行业上半年被攻击者攻击次数最多,其次为公检法、事业单位、政府机构、交通运输等重要行业。由此可见,2019年下半年,上述机构在原有安全防护基础上,应进一步强化安全技术和管理建设,同时应与第三方安全服务机构建立良好的应急响应沟通和处置机制。

二、 攻击事件发现分析

2019年上半年奇安信安服团队参与处置的所有政府机构和企业的网络安全应急响应事件中,由行业单位自行发现的安全攻击事件占94.8%,而另有5.2%的安全攻击事件政府机构和企业实际上是不自知的,他们是在得到了监管机构或主管单位的通报才得知已被攻击。

虽然政府机构和企业自行发现的安全攻击事件占到了94.8%,但并不代表其具备了潜在威胁的发现能力。其中,占安全攻击事件总量73.1%的事件是政府机构和企业通过内部安全运营巡检的方式自主查出的,而其余21.7%的安全攻击事件能够被发现,则是因为其网络系统已经出现了显著的入侵迹象,或者是已经遭到了攻击者的敲诈勒索,甚者有些单位是在已经遭遇了巨大的财产损失后才发现自己的网络系统遭到了攻击。

从上述数据中可以看出,政府机构、大中型企业仍然普遍缺乏足够的安全监测能力,缺乏主动发现隐蔽性较好地入侵威胁的能力。由此,2019年下半年,政府机构、大中型企业应进一步加强网络安全建设,提高内部网络安全监测能力。

三、 影响范围分布分析

2019年上半年应急安全事件的影响范围主要集中在内部服务器和数据库,占比26.43%;外部网站和内部网站,占比为22.68%。其次为办公专网,15.66%;一般业务系统,8.65%。

从影响范围分布可知,政府机构、大中型企业的互联网门户网站、内部网站、内部业务系统服务器以及数据库仍为攻击者的主要攻击对象。由于门户网站暴露于互联网中,可以被轻易找到,所以门户网站遭受到的攻击和威胁也是最多,最严重的。攻击者通过对网站的攻击,实现敲诈勒索、满足个人利益需求;而内部网站、内部服务器和数据库运行核心业务系统、存放重要数据,也成为攻击者进行黑产活动、敲诈勒索等违法行为的主要攻击目标,攻击者通过发送钓鱼邮件、具有迷惑性的链接等方式诱使内部员工点击,进而感染主机,逐步感染内部服务器、数据库,造成数据外泄、服务器被敲诈勒索的严重后果。

基于此,政府机构、大中型企业应强化对互联网门户网站的安全防护建设,同时提高内部人员安全防范意识,加强对内网中内部网站、内部服务器和数据库、终端以及业务系统的安全防护保障和数据安全管理。

四、 攻击现象统计分析

通过对2019年上半年政府机构、大中型企业被攻陷系统影响后果进行分析研究,攻击者对系统的攻击所产生现象主要表现为导致生产效率低下、数据丢失、系统不可用。

从上述数据不难看出,导致生产效率低下占比29%,攻击者通过挖矿、拒绝服务等攻击手段使服务器CPU占用率异常高,从而造成生产效率低下;数据丢失占比21%;系统不可用占比19%,主要表现为攻击者通过对系统的攻击,直接造成业务系统宕机;破坏性攻击占比6.5%,攻击者通过利用服务器漏洞、配置不当、弱口令、Web漏洞等系统安全缺陷,对系统实施破坏性攻击;声誉影响占比5.7%,主要体现在对政府机构、大中型企业门户网站进行的网页篡改、黑词暗链、钓鱼网站、非法子页面等攻击,对政府和企业造成严重的声誉影响,特别是政府机构。同时,敏感信息泄露、数据被篡改、网络不可用和金融资产盗窃也是攻击产生的现象,对政府机构、大中型企业造成严重后果。

从攻击现象统计看,攻击者对系统的攻击具备破坏性、针对性,严重影响了系统和业务的正常运行。

第三章 应急事件攻击者分析

应急响应事件攻击者分析以2019年上半年政府机构、大中型企业所有应急数据为支撑,从攻击者角度对攻击者攻击意图、攻击者常用木马以及攻击者常见漏洞利用方式进行分析。为各政企机构安全防护、制定应急处突方案提供参考依据。

一、 攻击意图分布分析

2019年上半年应急事件中,黑产活动、敲诈勒索仍然是攻击者攻击政府机构、大中型企业的主要原因。

攻击者通过黑词暗链、钓鱼页面、挖矿程序等攻击手段开展黑产活动谋取暴利;利用勒索病毒感染政府机构、大中型企业终端、服务器,对其实施敲诈勒索。对于大部分攻击者而言,其进行攻击的主要原因是为获取暴利,实现自身最大利益。其次是内部违规响应事件,表明政府机构、大中型企业业务人员、运维人员的安全意识还有待提升。

APT攻击和出于政治原因攻击意图的存在,说明具有组织性、针对性的攻击团队对政府机构、大中型企业的攻击目的不单单是为钱财,而有可能出于政治意图,窃取国家层面、重点领域的数据。虽然APT攻击和出于政治原因的攻击数量相对较少,但其危害性较重,所以政府机构、大中型企业,特别是政府机构,应强化整体安全防护体系建设。

二、 木马类型分布分析

2019年上半年政府机构、大中型企业安全事件遭受攻击常见木马排名前三的为勒索病毒、挖矿木马以及综合型病毒(以“驱动人生”病毒为主),分别占比31.8%、14.8%、9.1%。除以往常见的勒索病毒、挖矿木马外,19年上半年新爆发一种新型综合型病毒—“驱动人生”病毒。

“驱动人生”病毒是一款通过“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马病毒,爆发力强,传播速度快。仅2个小时受攻击用户就可高达10万。“驱动人生”病毒会利用高危漏洞在企业内网呈蠕虫式传播,并进一步下载云控木马, 通过升级程序下载的恶意样本链接确认,“驱动人生”旗下多款应用的升级模块均可被污染。目前,在奇安信集团安服“驱动人生”专杀工具的遏制下,“驱动人生”病毒已处于可掌控范围之内。除此之外,勒索病毒、挖矿木马仍为攻击者攻击政府机构、大中型企业的常见木马类型。其中,勒索病毒仍常见于Globelmposter勒索软件、GandCrab勒索软件和Wannacry勒索软件。

2019年上半年勒索病毒、挖矿木马、驱动人生病毒月度攻击趋势图具体如下:

以上数据显示,勒索病毒、挖矿木马均随着3月份“驱动人生”病毒的爆发呈上半年最高,3月至6月呈逐月下降趋势。

2019年下半年各政府机构、大中型企业应更清楚地认识到木马病毒对我们的服务器、数据库所造成的严重损害,进一步加强内部网络安全建设,针对多变种勒索病毒、挖矿木马以及随时可能出现的新型病毒制定完善的应急方案以及安全防护措施,保障自身数据、业务系统的安全。

三、 漏洞利用分布分析

通过对2019年上半年应急响应处理漏洞利用攻击事件进行统计分析,漏洞利用攻击呈下降趋势,4-5月份呈上升趋势。其中,综合分析上半年漏洞利用事件,弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因,其次,Weblogic反序列化漏洞也经常作为黑客日常利用的攻击手段。

除永恒之蓝、弱口令以及Weblogic反序列化漏洞外,Struts2命令执行漏洞、SQL注入漏洞、任意文件上传以及JAVA反序列化漏洞同样是黑客最青睐的利用方式,黑客通过利用某一漏洞侵入系统,传播病毒,最终造成数据丢失和篡改、隐私泄露乃至金钱上的损失等一系列连锁反应。

因此,2019年下半年,各政企机构、大中型企业应加大内部巡检力度,定期对设备、终端进行漏洞扫描,修复。定期更换服务器、终端登录密码、加大密码复杂度,不给黑客任何可乘之机。

 

第四章 典型事件案例分析

2019年上半年奇安信安全服务团队共接到全国各地应急求助613起,涉及全国27个省市,近30个行业,其中包括医疗卫生,大中型企业、政府机构,事业单位等重要信息化基础设施行业。发生的安全事件类型中不乏各种变种勒索病毒、蠕虫病毒以及会导致CPU运行过高的挖矿木马,均不同程度地造成较为严重的社会负面影响,也给客户带来了严重损失。

一、 交通运输行业某单位蠕虫病毒事件应急响应

(一) 事件概述

2019年1月,奇安信安服团队接到某交通运输行业的应急响应请求,某航线服务器大约20多台机器多次蓝屏,怀疑内网中病毒,请求应急响应。

应急响应人员抵达现场后,通过对受感染服务器进行分析,发现服务器中了WannaCrypt病毒,并捕获到三个病毒样本文件,mssecsvc.exe、qeriuwjhrf、tasksche.exe,病毒利用MS17010经445端口传播,内网多个重要业务系统均出现了蓝屏现象。通过排查内部网络连接,发现网络不停的对外发送SYN_SENT包,同时发现病毒在服务中存在“fmssecsvc2.0”服务名称,文件时间戳为2010年11月20日17:03分。

由此可见,该病毒已潜伏于内部服务器中已九年之久,由于病毒设置了隐藏属性,正常情况下无法查看该文件,没有安全设备查杀一般很难被发现。同时由于客户内部服务器、终端没有及时更新补丁,才给了潜伏病毒可乘之机。

(二) 防护建议

1) 配置并开启操作系统、关键应用等自动更新功能,对最新系统、应用安全补丁进行订阅、更新。避免攻击者通过相关系统、应用安全漏洞对系统实施攻击,或在获取系统访问权限后,对系统用户权限进行提升;

2) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

3) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

4) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

5) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作;

6) 加强人员安全意识培养,不要点击来源不明的邮件附件,不从不明网站下载软件。对来源不明的文件包括邮件附件、上传文件等要先杀毒处理。

二、 政府单位“驱动人生”挖矿事件应急响应

(一) 事件概述

2019年3月,奇安信安服团队接到某政府单位“驱动人生”挖矿事件应急响应请求,其内网大量服务器出现服务器内存、CPU等资源被恶意占用,导致部分服务器业务中断,无法正常运行。

应急人员到达现场后与客户沟通得知,服务器于一周前存在大量445连接,随时间增长,服务器资源被耗尽,导致业务无法正常工作。通过对内网服务器、终端进程、日志等多方面进行分析,根据应急响应人员现场排查的结果,判定客户内网服务器所感染病毒为“驱动人生”挖矿蠕虫病毒,该病毒会利用永恒之蓝漏洞在局域网内进行蠕虫传播,窃取服务器密码进行横向攻击,并且会创建大量服务耗尽服务器资源。通过使用奇安信安服团队编写的批量查杀脚本,对网内机器进行查杀病毒,大大降低网内恶意流量与病毒对资源的占用,恢复了正常业务。

(二) 防护建议

1) 妥善在内网使用 “驱动人生”系程序;

2) 对检测阶段发现的攻击源IP地址进行重新查杀,条件允许情况下重装系统重新部署业务;

3) 安装天擎最新版本(带防爆破功能)和天擎服务器加固防止被黑;

4) 建议部署全流量监控设备,可及时发现未知攻击流量以及加强攻击溯源能力,有效防止日志被轮询覆盖或被恶意清除,有效保障服务器沦陷后可进行攻击排查,分析原因;

5) 建议对内网开展安全大检查,检查的范围包括但不限于后门清理、系统及网站漏洞检测等;

6) 尽量关闭3389、445、139、135等不用的高危端口,建议内网部署堡垒机类似的设备,并只允许堡垒机IP访问服务器的远程管理端口(445、3389、22);

7) 对系统用户密码及时进行更改,可并使用LastPass等密码管理器对相关密码进行加密存储,避免使用本地明文文本的方式进行存储。

三、 医疗行业某单位专网勒索病毒GlobeImposter处置

(一) 事件概述

2019年3月,国内多家医院感染GlobeImposter勒索病毒事件,安服应急响应团队接到某省多家医院服务器遭受攻击事件的应急请求,经分析此次攻击是发生在该省同一卫生专网的GlobeImposter勒索病毒事件,针对此专网的攻击影响到该省五十多家市县医院。

应急响应人员通过对被感染设备进行分析处置,发现此次医院事件是因为该省在同一卫生专网内横向传染,其攻击手段与2018年的事件类型一致,属常规攻击事件,不具有行业属性。该攻击方式为定向爆破和投递勒索,通过RDP远程桌面攻击服务器,利用ProcessHacker结束杀毒软件进程,并利用其它黑客工具如扫描器、密码抓取工具进行进一步攻击,随后执行勒索软件,文件被加密,病毒感染后的主要特征包括windows服务器文件被加密、加密后缀 *.snake4444。

通过本次安全事件,医院信息系统暴露了诸多安全隐患,包括未定期开展安全评估工作,导致内部服务器存在严重高危漏洞;安全域划分不明确,较为混乱;安全意识仍需加强等。

(二) 防护建议

1) 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,尽量包含大小写字母、数字、特殊符号等的混合密码,加强管理员安全意识,禁止密码重用的情况出现;

2) 禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,在出口防火墙加入相关策略,对主动连接IP范围进行限制;

3) 有效加强访问控制ACL策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用白名单机制只允许开放特定的业务必要端口,其他端口一律禁止访问,仅管理员IP可对管理端口进行访问,如FTP、数据库服务、远程桌面等管理端口;

4) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

5) 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵。

四、 某省政府单位勒索病毒Crysis处置

(一) 事件概述

2019年5月,安服应急响应团队接到某省人民政府办公厅多台服务器遭受攻击事件的应急请求,要求对攻击来源进行溯源。

应急响应人员接到请求后,通过对系统日志、后门脚本文件等进行取证分析,发现相关服务器存在被IPC和RDP爆破攻击的迹象,同时部分服务器还存在已知的后门程序和漏洞攻击利用程序,根据相关日志关联,追溯至地州市,两网混用的现象导致此次攻击的发生。同时由于某省人民政府办公厅所部署的服务器均未应用最新补丁,机器都是使用的统一口令,且向政务外网开放端口终端,这也导致攻击者可以通过永恒之蓝(MS17-010)等相关漏洞对系统实施攻击。而由于缺失相关日志、流量等支持,无法对最初的攻击来源进行定位。

(二) 防护建议

1) 对受感染的机器第一时间进行物理隔离处理;

2) 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防爆破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵;

3) 部署终端安全管控软件,实时对终端进行查杀和防护;

4) 对个人PC中比较重要的稳定资料进行随时备份,备份应离线存储;

5) 继续加强网络与信息安全意识培训教育。意外收到的或来自未知发件人的电子邮件,不要按照文字中的说明进行操作,不要打开任何附件,也不要点击任何链接;

6) 建议安装相应的防病毒软件或部署防病毒网关,及时对病毒库进行更新,并且定期进行全面扫描,加强服务器上的病毒清除能力。

五、 事业单位APT事件应急响应

(一) 事件概述

2019年6月,奇安信安服团队接到某事业单位APT事件应急请求,内网有四台机器疑似海莲花APT组织控制,客户要求提取对应样本,以确认事件的真实性。

应急响应人员在客户协助下,通过对4台疑似受控机进行分析,判定确为海莲花受控机器。攻击者利用海莲花常用的“白加黑”技术,通过在主机目录下植入恶意文件AdobeFlash.exe、goopdate.dll,其中,AdobeFlash.exe是具有google签名的正常文件,goopdate.dll是精心伪造的恶意文件,AdobeFlash.exe程序启动时,会自动加载动态链接库goopdate.dll执行。

海莲花使用典型的”白+黑”方式伪装释放文件,用于迷惑用户以及安全防护产品,达到免杀的目的。并且每个”黑”文件样本的变幻后的数据也不相同,主要是由于加密密钥不同,在运行时先进行解密,然后在内存中执行解密后的shellcode。

(二) 防护建议

1) 部署高级威胁监测设备,及时发现恶意网络流量,同时可进一步加强追踪溯源能力,对安全事件发生时可提供可靠的追溯依据;

2) 配置并开启相关关键系统、应用日志,对系统日志进行定期异地归档、备份,避免在攻击行为发生时,导致无法对攻击途径、行为进行溯源等,加强安全溯源能力;

3) 建议在服务器或虚拟化环境上部署虚拟化安全管理系统,提升防恶意软件、防暴力破解等安全防护能力;

4) 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作,主动发现目前系统、应用存在的安全隐患;

5) 加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作。

附录1 “驱动人生”病毒清除操作手册

一、 “驱动人生”病毒活跃时间轴

时间线 更新内容 备注
2018年12月14日 “驱动人生”系列软件“人生日历”等升级程序分发恶意代码的活动。 开始攻击
2018年12月29日 “驱动人生”挖矿木马新增下发通道域名 d.haqo.net ,启用解析。 更新CC服务器
2019年01月24日 木马将挖矿组件,升级后门组件分别安装为计划任务并装Powershell后门。 持久化更新
 2019年01月25日 本次更新的主要变化在于攻击模块,将永恒之蓝攻击组件安装为计划任务,利用mimikatz搜集登陆密码。同时安装powershell计划任务和mshta脚本计划任务。“口令爆破”传播功能,使得木马更具传播能力。 增强横向传播的能力
2019年01月30日 下午4时左右再次更新,在此次更新中木马在此前抓取系统帐户密码的基础上增加了抓取密码hash值的功能,并试图通过pass the hash攻击进行横向渗透。
2019年02月10日 改变其木马生成方式为Pyinstaller 免杀更新
2019年02月23日 “驱动人生”木马更新通道下发的挖矿木马再次更新。在此次更新中,木马的传播模块新增了MsSQL数据库弱口令爆破功能。 增强横向传播的能力
 2019年03月07日 攻击者正在调整攻击策略,意图替换由“驱动人生”更新通道下发的木马攻击模块,改由之前植入的PowerShell后门统一管理。老的攻击模块将逐步被弃用,并使用PowerShell进行重写之后以“无文件”形式实施攻击。 免杀更新
 2019年03月13日 木马更新攻击模块ii.dat的下载地址,并修改了部分代码(未改动之前使用的攻击方式),同时下载后门程序mn.dat,将其填充大量垃圾数据生成超大文件(增肥后的木马程序在45MB~60MB左右)用来躲避查杀 免杀更新
2019年03月20日 驱动人生更新powershell脚本,新增以MAC地址命名的计划任务

表一 “驱动人生”病毒活跃时间轴

二、 “驱动人生”病毒事件分发分析

基于对升级过程及相关组件的分析,整体恶意代码的分发过程还原为如下图示:

2018年12月14日,攻击者通过域名 dl.haqo.net 下发木马;时隔半个月后,攻击者通过新的域名d.haqo.net 再次下发挖矿木马。而本次挖矿木马新增下发通道域名 d.haqo.net。

启用解析的时间是 2018年12月29日 ,距离最初爆发时的 2018年12月14日 已经过去半个月。被安全厂商联合绞杀的半个月后还启用新的恶意域名,说明也早有预谋。然后时间到了2019年1月24日,木马在之前的版本上,新增计划任务“DnsScan”,在其中将永恒之蓝攻击模块C:\Windows\Temp\svchost.exe(py2exe打包方式)设置为木马执行当天7:05开始,之后每个一小时执行一次。如下图代码所示:

更新后的攻击模块svchost.exe除了利用永恒之蓝漏洞对内网以及外网机器进行扫描攻击外,还新增了以下功能:

1) 利用powershell版黑客工具mimikatz抓取用户机器域登录密码进行横向传播

2) 攻击模块尝试通过内置的弱密码字典尝试SMB爆破远程登录

3) 创建计划任务执行远程hta代码

4) 创建计划任务执行远程powershell代码

2019年01月30日下午4时左右再次更新,在此次更新中木马在此前抓取系统帐户密码的基础上增加了抓取密码hash值的功能,并试图通过pass the hash攻击进行横向渗透。也就是说即使用户使用强度高的登录口令同样可能被该木马攻击。时间又到了2019年2月10日”驱动人生” 木马改变其木马生成方式为Pyinstaller。

当前版本木马共安装四个计划任务:

1) 计划任务Ddrivers负责启动主模块,指向服务Ddriver相同文件

2) 计划任务WebServers负责启动后门程序wmiex.exe,指向服务WebServers相同程序

3) 计划任务DnsScan负责启动攻击模块,该模块利用永恒之蓝漏洞、SMB弱口令爆破、PSEXEC、MimiKatz等多种方式进行攻击

4) 计划任务Bluetooths负责下载执行远程Powershell指令。

如上图所示在2019年02月23日“驱动人生”木马更新通道下发的挖矿木马再次更新。在此次更新中,木马的传播模块新增了MsSQL数据库弱口令爆破功能并且将MsSQL的sa帐号密码改更为ksa8hd4,m@~#$%^&*()

我们对比木马更新前后传播模块代码可以看出,木马中新增了一组弱口令字典,该弱口令用于MsSQL数据库爆破,爆破成功后在目标计算机中添加一个名为“k8h3d”的帐户并植入后门。

就这样反反复复的版本迭代更新,逐渐的时间来到了2019年03月07日,攻击者正在调整攻击策略,意图替换由“驱动人生”更新通道下发的木马攻击模块,改由之前植入的PowerShell后门统一管理。老的攻击模块将逐步被弃用,并使用PowerShell进行重写之后以“无文件”形式实施攻击来绕过安全软件的防护与查杀。

近期(2019年03月13日), “驱动人生”木马又更新攻击模块ii.dat的下载地址并修改了部分代码(未改动之前使用的攻击方式),同时下载后门程序mn.dat,将其填充大量垃圾数据生成超大文件(约45M~60M之间)进行躲避查杀。

同时将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务等进行自启动。该版本的“驱动人生”木马创建的服务名叫”RemComSvc”。

并且文件签名更改为:“Shenzhen Qitu Software Technolgy Co., Ltd.

3月20日更新:

1) 1.Log文件路径如下:

%temp%\ppppppp.log

%temp%\\222.log

%temp%\\333.log

%temp%\\444.log

%temp%\\555.log

2) 拼接用户信息字符串$key

3) 创建计划任务,名称为“\Microsoft\windows\$mac”,执行powershell代码从“v.y6h.net/g?h+当前日期”拉取

4) Cred.ps1释放路径为%appdata%\Microsoft\,目前拉取$url = ‘//128.199.64.236/new.dat?all‘ + $key

5) 创建计划任务Credentials执行的是(4)中的Cred.ps1(powershell攻击脚本)

6) 从//128.199.64.236/mn.dat?all‘ + $key下载mn.dat到%temp%目录下命名为mn.exe(后门,拷贝自身到Windows、%appdata%、Startup启动目录,并增肥文件大小)

7) 从//128.199.64.236/ii.dat?p=all‘ + $key下载ii.dat到%temp%目录下命名为4到8个字符的随机名称.exe

8) 创建计划任务\Microsoft\Windows\[(7)中生成的随机名称],执行(7)中释放的落地文件(pyinstaller打包的攻击脚本 )

9) 在非管理员权限下会在%temp%生成一个run.vbs脚本用(8)创建的计划任务执行

10)  从//128.199.64.236/aio.dat?all‘ + $key下载aio.dat到%temp%目录下为aio.exe执行(挖矿主体)

11)  从//27.102.107.137/status.json?all‘…..下载powershell代码执行,并上传用户机器状态和信息

12) 目前27.102.107.137解析域名w.beahh.com

三、 如何清除“驱动人生”病毒

(一) 删除服务

运行services.msc,找到Ddriver或Ddrivers服务禁用,查看服务所属的程序,将程序、服务都删除,服务删除命令:CMD:sc delete 服务名(一般为Ddriver或Ddrivers)。

(二) 删除恶意文件

部分文件和文件夹为隐藏文件,需通过文件夹选项-查看,开启“显示隐藏的文件”,“隐藏受保护的操作系统文件(推荐)”后去删除。建议在删除恶意程序时先开启次此选项。

遇到无法删除的文件,可能是正在运行,需取任务管理器中杀掉进程,(病毒特征进程svchost.exe*32)有些恶意程序会伪装成正常系统程序的名称,通过描述和右键打开文件位置,可以判断。具体如下:

 

1) C\windows文件夹下,按时间排序,最新的exe文件,一般文件名都是字母乱命名。

2) C\windows\temp文件夹下,按时间排序,最新的文件m.sp1、mkatz、svchost、tmp、dl.bat等需删除。

3) C\windows\system32\drivers文件夹下,按时间排序,最新的文件svchost、taskmgr等

(注:system32下的svchost和taskmgr为系统程序,通过创建、修改时间可以判断,主要删除drivers文件夹下的程序)

4) C\windows\syswow64文件夹下,按时间排序,最新的文件wmiex等

5) C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下的run.bat文件

(三) 删除计划任务

控制面板–附件–系统工具–任务计划程序。主要检查任务计划程序库、microsoft、windows目录下的异常计划任务,一般都是周期性循环的任务,找到启动程序并删除,同时将任务删除,如下图:


(四) 开启防火墙

开启防火墙功能,进入高级设置新建2条入站规则,新建后,如果本机存在对外共享服务,则会中断,等彻底清除病毒后再次开启。

协议类型“端口”–下一步

协议和端口“TCP”–“特定本地端口”–输入135,137,138,139,445–下一步

操作“阻止连接”–下一步

配置文件默认点下一步

名称命名“shadu-tcp”,完成。

再新建一条入站规则,协议选择UDP,命名shadu-udp,其他都一致。

(五) 奇安信天擎查杀

以上几步做完后请使用奇安信天擎对C盘进行查杀,查杀后进行密码修复后重启,重启完成后利用天擎、人工等手段再次检查一遍是否有残留。

 

 

附录2 奇安信集团安服团队

奇安信安全服务团队是奇安信集团旗下,为客户提供全周期的安全保障服务的团队。团队以攻防技术为核心,聚焦威胁检测和响应,在云端安全大数据的支撑下,为客户提供咨询规划、威胁检测、攻防演习、应急响应、预警通告、安全运营等一系列实战化的服务。

安服团队在数据分析、攻击溯源、应急响应、重保演习等方面有丰富的实战经验,参与了多次国内外知名APT事件的分析溯源工作,参与了APEC、G20、两会、一带一路、纪念抗战胜利70周年阅兵、十九大、上合峰会等国家重大活动的网络安保工作,屡次获得了国家相关部门和广大政企客户的高度认可。

2016年以来,奇安信安服团队供参与处置各类网络安全应急响应事件两千余起,救援客户涵盖公检法、政府部门、医疗卫生、事业单位、金融、教育、交通等各个行业,处置事件包括服务器病毒告警、PC病毒告警、webshell告警、木马告警、数据泄露等多种类型,为客户挽回经济损失数千万元。

感谢支持199IT
我们致力为中国互联网研究和咨询及IT行业数据专业人员和决策者提供一个数据共享平台。

要继续访问我们的网站,只需关闭您的广告拦截器并刷新页面。
滚动到顶部