-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-02-16
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
目前,“火绒威胁情报系统”监测到,“驱动人生”蠕虫病毒(又名“DTStealer”、“LemonDuck”或者“永恒之蓝下载器”)出现了新的变种:通过在Windows中毒终端下发SSH暴破相关模块,对互联网中的Linux终端进行暴破攻击。当前,也已有企业用户陆续向火绒反馈该病毒问题。火绒工程师提醒广大用户,尤其企业用户,请及时排查。 火绒查杀图火绒用户无需担心,火绒已对“驱动人生”蠕虫病毒进行查杀。同时,火绒已经升级相应的系统加固(系统免疫)拦截规则,可以拦截该病毒的主要恶意行为,如果用户在使用中发现有病毒触发该拦截项,建议用户及时全盘查杀,并对局域网内的其他终端进行排查。 火绒系统加固拦截图 火绒Web服务保护拦截图根据火绒工程师分析,此病毒会进行横向传播、下载挖矿病毒、安装后门病毒,Windows和Linux都是他的传播目标。除此之外还增加了针对Linux平台服务器的漏洞攻击逻辑,病毒使用的漏洞包括:Yarn 未授权访问漏洞、Redis 未授权访问漏洞、Weblogic(CVE-2020-14882)、Elasticsearch(CVE-2015-1427)、Solr(CVE-2019-0193)、Docker(Remote API)。病毒更新后,可能造成更多的Linux终端受到该病毒的影响。事实上,蠕虫病毒擅长利用漏洞攻击或者横向渗透进行传播,从而大面积感染目标设备。”驱动人生”蠕虫病毒更是不断升级漏洞攻击、暴破攻击形式和手段,严重影响终端安全。在近几年的时间里,火绒安全团队也对“驱动人生”蠕虫病毒进行了持续跟踪:2018年12月,火绒工程师发现“驱动人生”旗下多款软件携带后门病毒DTStealer,仅半天时间感染了数万台电脑(补充链接1);2020年,火绒监测到“LemonDuck”通过多种暴破方式(SMB暴破,RDP暴破,SQL Server暴破)和漏洞(USBLnk漏洞,永恒之蓝漏洞)传播(补充链接2)。近年来,火绒也不断升级查杀和防护技术,从而有效阻止类似“驱动人生“蠕虫病毒在内网肆意传播的现象:如【远程登录防护】功能,可以有效抵挡病毒的RDP、SMB等暴破行为。火绒个人版和企业版2.0也已上线【横向渗透防护】功能,可以有效拦截后续渗透入侵行为,做到阻断病毒在局域网内扩散,避免终端受到病毒的影响。一、 详细分析Windows终端下的病毒分析使用Putty进行暴破攻击,如下图所示: 使用Putty进行暴破攻击Putty暴破攻击相关代码,如下图所示: Putty暴破攻击相关代码漏洞利用相关代码,如下图所示: 漏洞利用相关代码新增的攻击方式,如下图所示: 新增的攻击方式Linux终端下的病毒分析删除挖矿软件,如下图所示: 删除挖矿软件通过联网IP结束其他挖矿病毒进程,如下图所示: 通过联网IP结束其他挖矿病毒进程下载Linux挖矿病毒,如下图所示: 下载Linux挖矿病毒借助SSH横向传播,如下图所示: 借助SSH横向传播二、 附录样本hash 三、补充阅读链接1、 “驱动人生”利用高危漏洞传播病毒 12月14日半天感染数万台电脑https://www.huorong.cn/info/1544807500177.html2、蠕虫病毒“柠檬鸭”持续扩散 多种暴破方式攻击用户电脑https://www.huorong.cn/info/1586944971456.html
|
