您的位置:首页 > 电脑软件

腾讯安全团队公布“驱动人生木马事件”始末:系定向攻击,已率先查杀

发布时间:2018-12-17 19:48:17  来源:互联网     背景:

  12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的木马突然爆发,仅2个小时受攻击用户便高达10万。腾讯安全团队第一时间将该病毒疫情对外通报、发布安全预警,并连夜发布详细的技术分析报告。

  驱动人生公司接到事件预警后,与腾讯安全团队取得联系,并邀请腾讯企业安全应急响应中心协助追查事故原因,同时就该事件向深圳警方报警。双方经过通宵分析及排查,最终确定该事件是一起精心策划的定向攻击事件,所幸该攻击刚开始便被腾讯安全御见威胁情报中心率先拦截查杀,影响并未进一步扩大。

(图:驱动人生公司针对此次事件发布官方声明)

  此款病毒自12月14日约14点,利用“驱动人生”、“人生日历”等软件最早开始传播,感染用户机器后,会利用“永恒之蓝”高危漏洞在企业内网呈蠕虫式传播,并通过云控下发恶意代码,继而进行收集用户信息、挖门罗币等不法行为。

  腾讯安全专家经过分析排查发现,病毒作者早在一个多月前,便开始收集驱动人生公司信息,包括办公出口IP,开发运维岗位员工名册和部分服务器内网IP等,并可能嗅探确认了被修改的远程桌面端口。11月12日,一个显示所在地为“荷兰”的可疑登陆源登陆了驱动人生公司的运维跳板机和编译机,基本确认是攻击者通过代理登陆来隐藏痕迹。

  11月13日,攻击者对192内网段所有机器都发起了SMB爆破。值得注意的是,攻击者在尝试爆破时,使用了4位驱动人生公司的后台开发、运维员工的姓名拼音作为用户名尝试,包括一位已离职约半年的员工。而从爆破开始到结束,全过程用时极短且爆破次数极少,仅20余次,因此腾讯安全专家推测,爆破的密码字典非常有限,反映出攻击者已熟知这些员工信息。11月15日,攻击者使用某运维账号登录到升级服务器103.56.77.23;12月4日,攻击者又使用administrator账号再次登录到该升级服务器。

  12月5日,攻击者注册了本次攻击中所使用的模仿下载域名ackng.com,准备发起攻击。12月13日,攻击者再次使用administrator账号登录到上述升级服务器,疑似进行登陆服务器配置方案分析。12月14日,攻击者在升级服务器上备份并修改ServerConfig.xml文件,同时登录SQL数据库后插入恶意下载链接条目,随后删除插入的条目。12月15日,攻击者再次登陆升级服务器,删除各类操作记录,同时还原了ServerConfig.xml文件,企图销毁攻击痕迹。至此,整个攻击活动已被腾讯企业安全应急响应中心完整还原,同时深圳市网安计算机安全检测有限公司也为攻击活动的溯源排查提供重要线索。

(图:不法黑客攻击时间轴)

  回顾这次的木马病毒事件,可以发现,这是一次有针对性的定向攻击活动,攻击者掌握了驱动人生公司众多内部信息,在公司内网潜伏长达一个半月后,利用公司技术人员出国团建的攻防薄弱时间发起攻击行动。腾讯安全专家指出,与以往大部分APT攻击活动为了窃取敏感资料、破坏关键设施等不同,本次攻击的病毒传播者显然意在利用攻击活动牟取经济利益。该攻击者试图利用驱动人生公司的系列软件进行供应链攻击,构建僵尸网络,以此持续获利。根据腾讯安全团队的监测数据,该次攻击在短短两小时内感染超过十万台机器。虽然攻击者在4小时后,主动还原了相关配置,但木马通过永恒之蓝漏洞扩散,已形成持续传播。

  该次木马攻击最终在腾讯安全御见威胁情报中心的率先预警下,以及驱动人生公司停止updrv.com服务器DNS解析、升级服务器升级组件等相关举措下被及时阻断,避免了进一步扩散发酵,但仍然对用户造成了较明显的伤害。

(图:腾讯御界高级威胁检测系统成功感知该威胁)

  由此,腾讯安全专家也呼吁互联网企业,应高度重视内部网络安全体系建设,主动排查和处理安全隐患,在软件产品研发、测试、交付阶段引入合规审计流程,避免再次出现类似安全事故。同时,广大企业用户也应提高警惕,及时升级系统、修补漏洞,并推荐部署腾讯御界高级威胁检测系统检测可能的恶意病毒攻击。






特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
国内首款AI防骚扰电话助手发布,可代接电话
4月2日消息,我国智能语音领域首款针对个人用户的AI防骚扰电话助手——“芒小蜜&rdq......
日期:04-02
Linux Debian 10.5 发布,修复 “BootHole” 安全漏洞
Debian 10.5 已发布,这是 Debian 10 "Buster" 的第五个稳定版更新,修复了部分安全问题和 bug。...
日期:08-02
微软Windows 10用户将通过Windows Update接收Edge浏览器更新
12月17日消息 在微软的Ignite 2019大会上微软公司宣布了最新的Edge浏览器的正式上市日期:基于Chrom......
日期:12-17
终于有一款组件可以全面超越Apache POI
在 GrapeCity Documents出现以前,服务端文档组件向来以Apache POI为代表,作为一款由Java编写的开......
日期:05-06
驱动人生 神操作帮你一键重装系统
最近小可爱在后台私信问驱动哥用驱动人生8 一键重装后被卡在PE-Windows 的解决方案是啥~...
日期:08-10
英特尔Gen 12(Xe)显卡架构曝光,新增DSB引擎
9月3日消息 英特尔最近发布的十代酷睿Ice Lake搭载了Gen 11核显,显示性能相比上一代大幅提升。现在......
日期:09-03
Python 3.8.0稳定版正式发布
10月15日消息 Python是一种面向对象的动态类型语言,最初被设计用于编写自动化脚本,随着版本的不断......
日期:10-15
V8集团版OA系统,“分而不离”实现亚滴新能源敏捷化运营
随着社会经济的发展,公司业务不断的扩张,对协同管理OA系统产生了新的需求。2016年底,深圳市迪滴......
日期:05-21
腾讯QQ浏览器助力搭建“数字巴西国家博物馆”
北京时间2018年11月16日,“卢西亚的新生——‘数字巴西国家博物馆’项目......
日期:11-16
微软正式宣布!桌面版Edge浏览器将采用Chromium内核
12月7日消息 当地时间12月6日上午9点,微软在其官方博客发表了一篇题为《Microsoft Edge: Making th......
日期:12-07
WannaMiner挖矿木马出现最新变种,腾讯电脑管家提醒用户加强防范
木马病毒不仅“黑吃黑”,还会“过河拆桥”。...
日期:09-06
AMD锐龙屠榜 京东轻薄笔记本挑战赛完美收官
前言:一个人的语文水平很大程度上会提升自己对周边用户的影响力,有一个词叫做“头部用户&rdq......
日期:07-31
索泰发布新款迷你PC:搭载9代酷睿和RTX显卡
8月8日消息 索泰今天发布了MAGNUS E系列ZBOX迷你PC,62.2毫米厚,搭载9代英特尔酷睿处理器和NVIDIA ......
日期:08-08
Edge 隐私性最差?微软回应:数据用于产品改进
近日,来自爱尔兰都柏林三一学院的计算机科学与统计学院的 Douglas J Leith 团队的一项研究结果指出......
日期:03-27
内容生产工具开启革新,设计师的春天到了?
一直以来,以创意为生的内容创作者都被创作工具的性能所困扰着,在实现创意的过程中,因为创作工具......
日期:01-23
Netflix获得新成就:Google Play安装量达5亿
12月17日消息 从谷歌Google Play商店了解到,Netflix安卓版App的安装量已经达到了5亿。...
日期:12-17
网易云音乐 Win10 UWP 正式变为 Win32 转制版
5月29日消息 这一天还是到来了,IT之家网友反馈,Windows 10应用商店中的网易云音乐UWP版最新更新之......
日期:05-29
化繁为简 极至安全
ZoomEye BE 钟馗之眼商业版4月上线,即引发大量企业客户关注,在使用中,很多企业客户对产品有了更......
日期:07-18
OPPO发布新系统,ColorOS 6要颜值有颜值要内涵有内涵
11月22日下午,OPPO在深圳召开ColorOS五周年活动。不知不觉OPPO ColorOS已经走过了第五个年头。五年......
日期:11-24
送永久会员的迅雷X破解版,真的好用吗?
免安装,破解,VIP10,去广告永久会员迅雷X真的有这么厉害的么?兄弟我最近下载资源正好需要迅雷下载......
日期:06-24