警惕！驅動(dòng)軟件“驅動(dòng)人生”存在后門(mén)可傳播木馬病毒

　　2018年12月14日，國內Windows平臺下免費驅動(dòng)管理軟件“驅動(dòng)人生”通過(guò)軟件自動(dòng)升級的方式向用戶(hù)推送了后門(mén)病毒DTSealer，該程序利用“永恒之藍”高危漏洞進(jìn)行局域網(wǎng)內的大范圍傳播，同時(shí)回傳被感染用戶(hù)電腦CPU以及IP地址等具體信息到攻擊服務(wù)器，之后下載惡意代碼進(jìn)行執行。此次感染面積巨大，半天時(shí)間內已有數萬(wàn)用戶(hù)電腦受到感染。此次木馬傳播事件的發(fā)生，是由于該軟件的某些老版本升級組件代碼漏洞被惡意攻擊所造成。

　　“驅動(dòng)人生”升級推送程序會(huì )通過(guò)網(wǎng)址鏈接將惡意程序下載到本地進(jìn)行執行，然后釋放自身到System32系統目錄下并生成32位母體程序svhost.exe，同時(shí)將自身注冊為系統服務(wù)執行后續的相關(guān)任務(wù)。在svhost.exe（32位）執行過(guò)程中會(huì )上傳用戶(hù)電腦配置信息，并且下載惡意程序eb.exez。在執行完成后釋放出64位變體程序svhhost.exe，其將作為代理程序釋放出svvhost.exe攻擊模塊，該攻擊模塊會(huì )執行掃描局域網(wǎng)操作，然后利用windows下高危漏洞“永恒之藍”傳播32位母體svhost.exe，擴大感染面積。具體流程如下圖所示：

　　整體執行流程

　　1）注冊自身為Ddriver服務(wù)：

　　注冊服務(wù)名

　　2）獲取系統產(chǎn)品號以及顯卡等信息：

　　獲取顯卡信息

　　3） 查看安全軟件信息，從下圖可以看出主流安全軟件都羅列在內。

　　獲取安全軟件信息

　　4） 將獲取到的用戶(hù)電腦信息作為請求參數獲得shellcode指令執行。從請求URL可以看出之前獲取到用戶(hù)名稱(chēng)以及CPU，UUID等相關(guān)信息。

　　獲取shellcode

　　5） 從服務(wù)器hxxp://dl.haqo.net/獲取加密的惡意代碼eb.exez（svvhost.exe母體）進(jìn)行執行。

　　下載svvhost.exe

　　快速枚舉局域網(wǎng)中主機的445端口，使用永恒之藍漏洞進(jìn)行攻擊，運行界面會(huì )回顯出當前局域網(wǎng)主機版本以及是否打過(guò)補丁。攻擊成功后下載svhost副本，增加受感染主機數量。

　　枚舉局域網(wǎng)中的445端口

　　迪普科技安全研究院提醒廣大用戶(hù)：對于已經(jīng)感染主機，建議盡快對感染主機進(jìn)行斷網(wǎng)隔離，可以通過(guò)查看系統目錄

　　C:\Windows\SysWOW64（system32）下是否存在svhost.exe\svhhost.exe文件，以及查找“Ddriver”服務(wù)定位刪除惡意文件。

　　此外，可參考如下建議提高防御能力：

　　迪普科技安全研究院監測到“驅動(dòng)人生”木馬病毒爆發(fā)后，迅速采取了應急措施。

　　1、目前DPtech IPS2000、FW1000可對“驅動(dòng)人生”所傳播病毒可以進(jìn)行有效防護，對應特征庫版本號如下：

　　IPS2000，FW1000

　　2、使用DPtech慧眼安全檢測產(chǎn)品資產(chǎn)盤(pán)點(diǎn)功能，快速識別出現網(wǎng)開(kāi)啟高危端口的資產(chǎn)；使用安全漏洞檢測功能識別出易被病毒感染的高危風(fēng)險資產(chǎn)，并根據相應的修復建議進(jìn)行安全加固。

　　3、在接入層部署DPtech LSW3600-SE系列自安全交換機，可使網(wǎng)絡(luò )接入主動(dòng)識別木馬、蠕蟲(chóng)等病毒傳播行為并實(shí)時(shí)處置，天然防止病毒傳播；可視化定位病毒傳播源，幫助管理員快速處理內網(wǎng)威脅。

　　4、迪普科技官網(wǎng)特征庫下載地址：

　　http://www.dptech.com/down.php?3

　　迪普科技正在全力跟蹤相關(guān)漏洞的最新進(jìn)展，請啟動(dòng)設備自動(dòng)更新特征庫功能，有疑問(wèn)的客戶(hù)也可聯(lián)系迪普科技當地辦事處售后人員或撥打客戶(hù)服務(wù)熱線(xiàn)電話(huà)：400-6100-598，進(jìn)一步了解相關(guān)情況。