吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 41345|回复: 654

[PC样本分析] "驱动人生"利用高危漏洞传播病毒 12月14日半天感染数万台电脑

    [复制链接]
此生长唸 发表于 2018-12-15 01:18
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
一、        概述
12月14日,火绒安全团队发现"驱动人生"旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过"永恒之蓝"高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。
目前截获的病毒没有携带其他攻击模块,只是"潜伏"。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。
根据火绒安全团队分析发现, "驱动人生"、"人生日历"、"USB宝盒"等软件的用户会感染该病毒。病毒会同时执行两个任务:1、通过"永恒之蓝"漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧,存在大量未修复的漏洞,因此受到的威胁较大;2、下载其它病毒模块,回传被感染电脑的IP地址、CPU型号等信息。
根据"火绒威胁情报系统"监测,该病毒于14日下午14点前后开始传播,之后逐步加大传播速度,被感染电脑数量迅速上升,到晚间病毒服务器关闭,停止传播。火绒工程师推测,病毒团伙可能是在做传播测试,不排除后续进行更大规模的传播。
火绒"企业版"和"个人版"无需升级即可拦截、查杀该病毒。火绒团队建议政府、企业、学校、医院等受此类病毒威胁较大的局域网用户,安装使用"火绒企业版"(可免费使用3个月),可有效防御所有通过"永恒之蓝"等高危漏洞传播的各种病毒。
请广大政企单位用户从火绒官网申请免费使用"火绒企业版",网址:https://www.huorong.cn/essmgr/essreg

二、        样本分析
火绒通过火绒终端威胁情报系统检测,自12月14日午时起有病毒正在通过驱动人生的升级推送功能进行大量传播。驱动人生升级推送程序会通过网址链接(hxxp://pull.update.ackng.com/calendar/PullExecute/F79CB9D2893B254CC75DFB7F3E454A69.exe)将病毒样本下载到本地进行执行。驱动人生升级程序下载病毒样本动作,如下图所示:
下载病毒样本
该病毒被下载到本地运行后,会将自身释放到System32(或SysWOW64)目录下(C:\Windows\SysWOW64\svhost.exe),将该可执行文件注册为系统服务继续执行恶意代码,注册服务名为Ddriver。病毒运行进程关系图,如下图所示:
病毒运行进程关系图
该服务运行后,首先会在System32(或SysWOW64)释放svhhost.exe进行执行,该程序我们暂且称之为代{过}{滤}理病毒;之后再创建svvhost.exe,该病毒用于通过永恒之蓝漏洞将svhost.exe在网络中进行传播,下文分两个部分对两个不同的病毒模块进行分析。

永恒之蓝漏洞攻击
svvhost.exe运行后会对当前所在网络扫描,使用永恒之蓝漏洞进行攻击。攻击成功后,恶意代码会通过CertUtil从C&C服务器下载病毒到被攻击终端进行执行。漏洞攻击及火绒黑客入侵拦截截图,下图所示:
漏洞攻击及火绒黑客入侵拦截截图
被恶意代码执行的CertUtil下载命令行参数,如下图所示:
CertUtil下载相关命令行参数
恶意代码下载到被攻击终端的病毒文件与svhost相同,下载后文件路径为c:\install.exe,C&C服务器地址为:hxxp://dl.haqo.net。

svhost.exe与代{过}{滤}理进程
父进程svhost.exe首先会收集本机信息,之后通过HTTP请求将在本机收集到的数据回传至C&C服务器地址(hxxp://i.haqo.net/i.png)。被回传的数据信息,如下图所示:
收集系统信息
请求链接示例,如下图所示:
请求链接示例
获取本机信息数据,如下图所示:
获取系统信息
获取安全软件运行状态
拼接请求参数
之后svhost.exe会从C&C服务器获取到加密的恶意代码下载链接,被下载的恶意代码执行方式分为两种:在代{过}{滤}理进程内存中加载执行和直接下载到本地(svvhost.exe)运行。暂时,被下载执行的恶意代码只有svvhost.exe用来进行永恒之蓝传播(C&C服务器地址:hxxp://dl.haqo.net/eb.exez),内存加载执行相关的功能链接暂时没有被下发,我们初步推测病毒尚处于测试阶段。相关代码,如下图所示:
解密控制命令
根据控制命令执行远程恶意代码
通过FileMapping发送恶意代码
代{过}{滤}理进程获取到恶意代码数据后进行执行,如下图所示:
代{过}{滤}理进程执行恶意代码
根据火绒终端威胁情报系统,我们发现下发执行病毒文件的升级程序路径多指向驱动人生旗下应用。相关升级程序路径信息,如下图所示:
相关升级程序路径信息
通过同源代码比对,我们发现推送病毒执行的升级模块,与人生日历升级模块代码存在同源性。同源代码,如下图所示:
同源代码
推送病毒执行的升级模块与人生日历升级模块导出函数,如下图所示:
导出函数对比

三、        附录
样本SHA256:

免费评分

参与人数 220吾爱币 +201 热心值 +208 收起 理由
沐春 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 谢谢@Thanks!
Migraine_Xin + 1 + 1 热心回复!
欻欻 + 1 + 1 用心讨论,共获提升!
一夜永昼 + 1 + 1 火绒给了你多少钱,我360就敢给你暗装多少软件
ElasticForce + 1 + 1 我很赞同!
云箐筠 + 1 + 1 我很赞同!
想找一个好名字 + 1 谢谢@Thanks!
skipperpeng + 1 + 1 幸亏我使用火绒。
tigerliu + 1 + 1 谢谢@Thanks!
赤玄 + 1 + 1 我很赞同!
wang754782072 + 1 + 1 我很赞同!
一只爬虫 + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
莉宝丶 + 1 + 1 用心讨论,共获提升!
li233 + 1 + 1 我很赞同!
乔木is + 1 + 1 用心讨论,共获提升!
我是桃子啊 + 1 + 1 用心讨论,共获提升!
zontia + 1 + 1 用心讨论,共获提升!
luc1fer + 1 + 1 用心讨论,共获提升!
毛新航 + 1 用心讨论,共获提升!
xueqi16 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
aerofsm + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
almajun1 + 1 + 1 谢谢@Thanks!
qingliang87 + 2 + 1 我很赞同!
wu168 + 1 用心讨论,共获提升!
marint + 1 + 1 用心讨论,共获提升!
CHCYQTXFS + 1 + 1 资瓷扒皮!
apple01221 + 1 + 1 热心回复!
bin1023 + 1 + 1 谢谢@Thanks!
mokusolo + 1 + 1 谢谢@Thanks!
wuxvdong + 1 + 1 我很赞同!
jackliqiao + 1 + 1 不管怎么说,我都很赞同你的行为
835560163 + 1 + 1 谢谢@Thanks!
zyh666 + 1 + 1 谢谢@Thanks!
yuze0804007 + 1 + 1 国产驱动管理软件全是毒瘤啊!
Rossoneri_Sam + 1 + 1 用心讨论,共获提升!
日落繁星 + 1 热心回复!
zaxdsr + 1 + 1 谢谢@Thanks!
caili1215 + 1 谢谢@Thanks!
tuTuStream + 1 + 1 我很赞同!
听风_TingFeng + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xxbb3396 + 1 + 1 热心回复!
达子 + 1 + 1 此为违规行为,请遵守论坛版规!
sujin2018 + 1 + 1 谢谢@Thanks!
chenmintian + 1 + 1 一直在用火绒,确实不错!!!
丶琉璃画 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
尼古拉洛夫斯基 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
暴躁的鹅卵石 + 1 + 1 哇,难怪那个服务老是吃我内存
Tomcrack520 + 1 怎么看这件事呢,是有意为之还是不慎造成的呢?
xqingzhou + 1 + 1 鼓励转贴优秀软件安全工具和文档!
Aestus_estus + 1 + 1 谢谢@Thanks!
ainimemeda + 1 + 1 热心回复!
jiaodian445 + 1 + 1 用心讨论,共获提升!
ekiny + 1 + 1 谢谢@Thanks!
renyangyu + 1 + 1 我很赞同!
wk001 + 1 我很赞同!
a337100 + 1 + 1 热心回复!
KUKI + 1 + 1 谢谢@Thanks!
shazidnf + 1 + 1 热心回复!
人行竖道 + 1 + 1 我很赞同!
ryanmiss + 1 + 1 谢谢@Thanks!
TuziF + 1 + 1 鼓励转贴优秀软件安全工具和文档!
小羔羊 + 1 谢谢@Thanks!
Williamsweet + 1 我很赞同!
dealqi + 1 + 1 热心回复!
花轮同学 + 1 + 1 我很赞同!
Freezetime + 1 + 1 鼓励转贴优秀软件安全工具和文档!
gisext + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
名字啪啪 + 1 + 1 谢谢@Thanks!
940504 + 1 + 1 用心讨论,共获提升!
壁咚东 + 1 + 1 谢谢@Thanks!
jnzj4811 + 1 + 1 谢谢@Thanks!
Z9IT + 1 + 1 谢谢@Thanks!
joede12306 + 1 + 1 谢谢@Thanks!
非常猥锁 + 1 + 1 火绒必须顶!!!
pang1224953233 + 1 + 1 我很赞同!
橙汁 + 1 火绒好样的!火绒是我唯一用的杀毒软件,并且你根本感觉不到它的存在,无病.
zkaizhige + 1 + 1 我很赞同!
zlx123520 + 1 + 1 谢谢@Thanks!
虚生 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
很萌很好推. + 1 + 1 我很赞同!
Messiah + 1 + 1 我很赞同!
hyqsjj + 1 + 1 我很赞同!
菜鸟--不二 + 1 + 1 热心回复!
水煮渔民 + 1 + 1 用心讨论,共获提升!
雪山一支蒿 + 1 + 1 我很赞同!
xlj310 + 1 + 1 用心讨论,共获提升!
ttdota + 1 用心讨论,共获提升!有理有据
9595085416 + 1 + 1 我们的大火绒还是很厉害的
云城飞将 + 1 + 1 谢谢@Thanks!
antclt + 1 + 1 谢谢@Thanks!
灯火阑珊=zero + 1 + 1 裸奔的小白表示看不懂
tong_wen2504 + 1 谢谢@Thanks!
lysunfalong + 1 + 1 厉害了我的哥
CC_SYY + 1 热心回复!
qwe979844318 + 1 我很赞同!
woaipojie110 + 1 + 1 热心回复!
御剑把酒听秋雨 + 1 + 1 谢谢@Thanks!
rueppellii + 1 + 1 我很赞同!
Ai5 + 1 围观大神!!!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

吾爱小萌新233 发表于 2018-12-15 11:54
本帖最后由 吾爱小萌新233 于 2018-12-17 13:15 编辑

你们有毒吧!!!!

免费评分

参与人数 14吾爱币 0 热心值 +2 收起 理由
zhouvip666 -1 请勿灌水,提高回帖质量是每位会员应尽的义务!
fangdao + 2 回血
小黄书 + 1 + 1 热心回复!
最好不坏 + 1 + 1 用心讨论,共获提升!
seazer -1 早上好,小伙子,
封影骑士 -1 补刀
xiaochengQT -1 请勿灌水,扣起来,点+1+2的什么心态?
hongge -1 明显是复制楼下的灌水。回什么血,扣起来
ing + 2 我很赞同!
a1142099496 -1 已经处理,感谢您对吾爱破解论坛的支持!
jkl5322203 -1 明显复制楼下灌水。还给回血?扣起来扣起来。
emCupid + 1 回血
会飞的栋梁 + 1 扣分的弱智不用理,回血
杭电吴彦祖 -1 请勿灌水,提高回帖质量是每位会员应尽的义务!

查看全部评分

hahaerlx 发表于 2018-12-15 23:00
新京报讯(记者马婧)12月15日,驱动人生在官方微博发布声明称,14日驱动人生产品部分老版本升级组件代码漏洞被恶意攻击。事件发生正值公司团建期间,所有相关技术人员都在旅途中。老版本用户需手动更新升级版本,新版驱动人生产品已启用全新升级组件,可放心使用。据悉,驱动人生是一款免费的驱动管理软件,可实现智能检测硬件并自动查找安装驱动,为用户提供最新驱动更新、本机驱动备份、还原和卸载等功能。驱动人生在声明中称,已第一时间请求火绒安全、360、腾讯电脑管家、金山等安全厂商进行协助查杀拦截处理。相关材料转交国家警务机关,并与安全软件厂商通力配合,坚决查清幕后黑手。火绒安全团队发现驱动人生旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑。该病毒进入电脑后,继续通过“永恒之蓝”高危漏洞进行全网传播(特别是政企单位局域网),并回传被感染电脑的IP地址、CPU型号等信息。目前截获的病毒没有携带其他攻击模块,只是“潜伏”。病毒服务器只开放了不到10个小时即关闭,但是已经感染数万台电脑。根据火绒安全团队分析发现,“驱动人生”、“人生日历”、“USB宝盒”等软件的用户会感染该病毒。病毒会同时执行两个任务:1、通过“永恒之蓝”漏洞进行大面积传播。由于政府、企业等局域网用户使用的系统较为老旧,存在大量未修复的漏洞,因此受到的威胁较大;2、下载其他病毒模块,回传被感染电脑的IP地址、CPU型号等信息。根据“火绒威胁情报系统”监测,该病毒于14日下午14点前后开始传播,之后逐步加大传播速度,被感染电脑数量迅速上升,到晚间病毒服务器关闭,停止传播。火绒工程师推测,病毒团伙可能是在做传播测试,不排除后续进行更大规模的传播。


驱动人生,搞不好要毁一生·

免费评分

参与人数 1吾爱币 +1 收起 理由
腾云驾雾 + 1 垃圾驱动人生,败事有余

查看全部评分

洗影 发表于 2018-12-15 01:57
imgod1 发表于 2018-12-15 02:02
卧槽 恐怖如斯
水泥竹 发表于 2018-12-15 02:03
最近“火绒”表现不错!
水泥竹 发表于 2018-12-15 02:05
还好,我从来没用过“驱动人生”和某空的“万能驱动”。

免费评分

参与人数 1热心值 +1 收起 理由
灵剑丹心 + 1 itsky的万能驱动是从驱动人生拿来的?

查看全部评分

氓之嗤嗤 发表于 2018-12-15 02:06
驱动人生翻车??
seazer 发表于 2018-12-15 02:14
火绒虽然在大体方面表现很棒,但是,有个小的病毒却无法拦截阻止、

那就是hao123的那种浏览器首页劫持!

在运行包含这种病毒的程序时,火绒确实会提示,但是,点击阻止按钮之后,浏览器照样被劫持!即使防护中心的功能已经打开!

昨晚就被搞了一次,没办法只能重装系统

火绒点击阻止还被感染,希望楼主能介绍个预防方法啊!

@此生长唸
白晓生 发表于 2018-12-15 02:28
我勒个去这曾经是我最喜欢的一款驱动软件,没想到啊……
音乐与电脑 发表于 2018-12-15 02:31
这……驱动人生怎么了?现在还在玩永恒之蓝的漏洞?
珑辰 发表于 2018-12-15 02:31
本帖最后由 珑辰 于 2018-12-15 02:33 编辑

还好我都用驱动精灵,自从用了win10不会搞,一直强制更新之后我什么都不用了。反正干不过系统一安装完又自动给替换了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-7-20 15:34

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表