整體執(zhí)行流程
?相關模塊具體分析:svhost.exe(32位與64位版)
1)注冊自身為Ddriver服務:
注冊服務名
2)獲取系統(tǒng)產(chǎn)品號以及顯卡等信息:
獲取顯卡信息
3) 查看安全軟件信息,從下圖可以看出主流安全軟件都羅列在內(nèi)。
獲取安全軟件信息
4) 將獲取到的用戶電腦信息作為請求參數(shù)獲得shellcode指令執(zhí)行。從請求URL可以看出之前獲取到用戶名稱以及CPU,UUID等相關信息。
獲取shellcode
5) 從服務器hxxp://dl.haqo.net/獲取加密的惡意代碼eb.exez(svvhost.exe母體)進行執(zhí)行。
下載svvhost.exe
?相關模塊具體分析:svvhost.exe
快速枚舉局域網(wǎng)中主機的445端口,使用永恒之藍漏洞進行攻擊,運行界面會回顯出當前局域網(wǎng)主機版本以及是否打過補丁。攻擊成功后下載svhost副本,增加受感染主機數(shù)量。
枚舉局域網(wǎng)中的445端口
安全解決方案
迪普科技安全研究院提醒廣大用戶:對于已經(jīng)感染主機,建議盡快對感染主機進行斷網(wǎng)隔離,可以通過查看系統(tǒng)目錄
C:\Windows\SysWOW64(system32)下是否存在svhost.exe\svhhost.exe文件,以及查找“Ddriver”服務定位刪除惡意文件。
此外,可參考如下建議提高防御能力:
1、服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;
2、服務器暫時關閉不必要的端口(如135、139、445);
3、盡量關閉不必要的文件共享;
4、及時升級系統(tǒng)補丁。
迪普科技解決方案
迪普科技安全研究院監(jiān)測到“驅(qū)動人生”木馬病毒爆發(fā)后,迅速采取了應急措施。
1、目前DPtech IPS2000、FW1000可對“驅(qū)動人生”所傳播病毒可以進行有效防護,對應特征庫版本號如下:
◆產(chǎn)品系列:
IPS2000,F(xiàn)W1000
◆病毒庫版本:AV-R1.4.466
2、使用DPtech慧眼安全檢測產(chǎn)品資產(chǎn)盤點功能,快速識別出現(xiàn)網(wǎng)開啟高危端口的資產(chǎn);使用安全漏洞檢測功能識別出易被病毒感染的高危風險資產(chǎn),并根據(jù)相應的修復建議進行安全加固。
3、在接入層部署DPtech LSW3600-SE系列自安全交換機,可使網(wǎng)絡接入主動識別木馬、蠕蟲等病毒傳播行為并實時處置,天然防止病毒傳播;可視化定位病毒傳播源,幫助管理員快速處理內(nèi)網(wǎng)威脅。
4、迪普科技官網(wǎng)特征庫下載地址:
http://www.dptech.com/down.php?3
聯(lián)系我們
迪普科技正在全力跟蹤相關漏洞的最新進展,請啟動設備自動更新特征庫功能,有疑問的客戶也可聯(lián)系迪普科技當?shù)剞k事處售后人員或撥打客戶服務熱線電話:400-6100-598,進一步了解相關情況。