12月14日下午,腾讯安全御见威胁情报中心监测到一款通过“驱动人生”系列软件升级通道传播的木马突然爆发,仅2个小时受攻击用户便高达10万。腾讯安全团队第一时间将该病毒疫情对外通报、发布安全预警,并连夜发布详细的技术分析报告。
驱动人生公司接到事件预警后,与腾讯安全团队取得联系,并邀请腾讯企业安全应急响应中心协助追查事故原因,同时就该事件向深圳警方报警。双方经过通宵分析及排查,最终确定该事件是一起精心策划的定向攻击事件,所幸该攻击刚开始便被腾讯安全御见威胁情报中心率先拦截查杀,影响并未进一步扩大。
(图:驱动人生公司针对此次事件发布官方声明)
此款病毒自12月14日约14点,利用“驱动人生”、“人生日历”等软件最早开始传播,感染用户机器后,会利用“永恒之蓝”高危漏洞在企业内网呈蠕虫式传播,并通过云控下发恶意代码,继而进行收集用户信息、挖门罗币等不法行为。
腾讯安全专家经过分析排查发现,病毒作者早在一个多月前,便开始收集驱动人生公司信息,包括办公出口IP,开发运维岗位员工名册和部分服务器内网IP等,并可能嗅探确认了被修改的远程桌面端口。11月12日,一个显示所在地为“荷兰”的可疑登陆源登陆了驱动人生公司的运维跳板机和编译机,基本确认是攻击者通过代理登陆来隐藏痕迹。
11月13日,攻击者对192内网段所有机器都发起了SMB爆破。值得注意的是,攻击者在尝试爆破时,使用了4位驱动人生公司的后台开发、运维员工的姓名拼音作为用户名尝试,包括一位已离职约半年的员工。而从爆破开始到结束,全过程用时极短且爆破次数极少,仅20余次,因此腾讯安全专家推测,爆破的密码字典非常有限,反映出攻击者已熟知这些员工信息。11月15日,攻击者使用某运维账号登录到升级服务器103.56.77.23;12月4日,攻击者又使用administrator账号再次登录到该升级服务器。
12月5日,攻击者注册了本次攻击中所使用的模仿下载域名ackng.com,准备发起攻击。12月13日,攻击者再次使用administrator账号登录到上述升级服务器,疑似进行登陆服务器配置方案分析。12月14日,攻击者在升级服务器上备份并修改ServerConfig.xml文件,同时登录SQL数据库后插入恶意下载链接条目,随后删除插入的条目。12月15日,攻击者再次登陆升级服务器,删除各类操作记录,同时还原了ServerConfig.xml文件,企图销毁攻击痕迹。至此,整个攻击活动已被腾讯企业安全应急响应中心完整还原,同时深圳市网安计算机安全检测有限公司也为攻击活动的溯源排查提供重要线索。
(图:不法黑客攻击时间轴)
回顾这次的木马病毒事件,可以发现,这是一次有针对性的定向攻击活动,攻击者掌握了驱动人生公司众多内部信息,在公司内网潜伏长达一个半月后,利用公司技术人员出国团建的攻防薄弱时间发起攻击行动。腾讯安全专家指出,与以往大部分APT攻击活动为了窃取敏感资料、破坏关键设施等不同,本次攻击的病毒传播者显然意在利用攻击活动牟取经济利益。该攻击者试图利用驱动人生公司的系列软件进行供应链攻击,构建僵尸网络,以此持续获利。根据腾讯安全团队的监测数据,该次攻击在短短两小时内感染超过十万台机器。虽然攻击者在4小时后,主动还原了相关配置,但木马通过永恒之蓝漏洞扩散,已形成持续传播。
该次木马攻击最终在腾讯安全御见威胁情报中心的率先预警下,以及驱动人生公司停止updrv.com服务器DNS解析、升级服务器升级组件等相关举措下被及时阻断,避免了进一步扩散发酵,但仍然对用户造成了较明显的伤害。
(图:腾讯御界高级威胁检测系统成功感知该威胁)
由此,腾讯安全专家也呼吁互联网企业,应高度重视内部网络安全体系建设,主动排查和处理安全隐患,在软件产品研发、测试、交付阶段引入合规审计流程,避免再次出现类似安全事故。同时,广大企业用户也应提高警惕,及时升级系统、修补漏洞,并推荐部署腾讯御界高级威胁检测系统检测可能的恶意病毒攻击。